Pendant un mois, une mise à jour de CC Cleaner, le célèbre outil de nettoyage pour PC, recélait un malware contenant une porte dérobée sur le système de l’utilisateur, probablement capable de provoquer des réactions en chaîne, à la façon de Petya. Si l’origine de l’attaque demeure inconnue, elle aurait pu avoir des conséquences lourdes – mais, a priori, la seconde phase de piratage n’a pas été enclenchée.
La découverte a été faite par hasard : une équipe de Talos, le service de cybersécurité de Cisco, était en train de tester un nouveau système de détection, tout en installant une mise à jour de CC Cleaner, la star des utilitaires de nettoyage de PC. Dans l’opération, le système de détection s’aperçoit que la mise à jour installait, en plus de la dernière version de l’utilitaire, un malware.
Une porte dérobée dans la mise à jour
Il s’agit d’une porte dérobée capable d’explorer toutes les informations clés de la machine infectée – nom, adresse IP, liste de logiciels installés, liste de logiciels actifs, liste d’adapteurs réseau… Ces données sont ensuite envoyées à un serveur de commande et de contrôle (C2C) malveillant, qui pouvait ensuite lui envoyer des instructions supplémentaires.
Le malware déterminait également si la machine infectée était administrateur et s’il était capable de communiquer directement avec son serveur de commande et de contrôle. L’étape suivante était d’installer, spécifiquement sur ces serveurs, un second malwar,e sur lequel aucune information n’a filtré – mais il est probable qu’il s’agisse d’un logiciel malveillant de type Petya, visant à infecter le maximum de machines.
2,27 millions d’ordinateurs infectés dans le monde !
Cette porte dérobée était présente sur les versions CC Cleaner v5.33.6162 et CC Cleaner Cloud v1.07.3191 – si vous avez ces versions de l’utilitaire sur votre PC, faites une mise à jour immédiatement ! Rappelons que la société créatrice de CC Cleaner, Piriform, appartient désormais à Avast.
Les équipes de Talos ont révélé cette faille le 12 septembre, ils ont contacté immédiatement Avast qui a confirmé leur analyse et retiré les mises à jour de son site. Suite à une intervention des forces de l’ordre, les serveurs C2C ont été neutralisés dès le 15 septembre. La version vérolée des mises à jour est donc restée disponible environ un mois, entre le 15 août et le 12 septembre. Ondrej Vlcek, directeur technique d’Avast, a expliqué que le nombre de machines infectées s’élevait à 2,27 millions dans le monde.
Une phase de préparation pour une attaque massive, « stoppée à temps »
La première question d’importance est de savoir si le fameux second malware, celui capable de faire vraiment des dégâts, a été installé sur certains postes ou pas. Sachant que la porte dérobée le permettait, les équipes de Talos recommandent à tous les utilisateurs ayant installé les versions compromises « de réinstaller les machines et de revenir à une version précédente [du système] ».
Avast n’est pas du tout de cet avis : en tant que spécialiste des virus et malware, la société a analysé avec soin la propagation du logiciel malveillant sur les ordinateurs également équipé d’Avast. « Après avoir analysé les données comportementales, le trafic et les registres de ces machines, nous pouvons confirmer que, d’après nous, le second malware n’a jamais été activé. Le seul code malveillant présent sur les machines de ces clients est celui embarqué dans le binaire ccleaner.exe » a ainsi déclaré Ondrej Vlcek.
Il suffirait donc d’installer les dernières mises à jour de CC Cleaner ou de CC Cleaner Cloud, qui ont été vérifiées avec soin et ne contiennent aucun code malveillant, pour se débarrasser définitivement de l’intrusion. L’attaque n’a donc pas eu le temps de passer à la vitesse supérieure : « De ce que nous en savons, c’était une phase de préparation pour une attaque beaucoup plus massive, mais elle a heureusement été stoppée à temps » ajoute ainsi Ondrej Vlcek.
Comment le pirate a-t-il atteint les serveurs de Piriform ?
Le seconde question qui brûle les lèvres est de savoir comment une porte dérobée a pu se retrouver sur une mise à jour officielle d’un logiciel aussi populaire – qui plus est détenu par un spécialiste de l’antivirus ! Car cette version vérolée provenait bien des serveurs de Piriform, et était validé par un certificat d’authenticité signé par la société.
D’après Talos, il est probable « qu’un attaquant externe ait compromis une partie de l’environnement de développement et de compilation », afin d’installer la partie de code malveillante dans la mise à jour. L’autre possibilité est que la mise à jour a été compromise directement par un employé de Piriform, disposant des accès suffisant à cette opération.
Donc soit un piratage au cœur du système, soit un traitre interne : dans les deux cas, les semaines à venir vont donner lieu à une enquête approfondie pour déterminer ce qui s’est passé – et surtout s’assurer que cela ne se reproduira pas.