Alerte pour le très populaire CCleaner dont la version 5.33 a été compromise par du code malveillant inséré dans un fichier d'installation légitime. Une alerte rouge pour les utilisateurs Windows 32 bits.

MàJ : Avast estime à 2,27 millions le nombre d'utilisateurs qui avaient installé la version 5.33 de CCleaner sur un ordinateur Windows 32 bits.

-----

Dans une version légitime de CCleaner et distribuée par les serveurs de Piriform, des cybercriminels sont parvenus à installer une backdoor. CCleaner est un outil très populaire (130 millions d'utilisateurs revendiqués) de nettoyage et d'optimisation de Windows édité par Piriform qui a été racheté par Avast en juillet dernier.

L'alerte concerne la version 5.33 de CCleaner (5.33.6162), ainsi que CCleaner Cloud en version 1.07.3191 qui ont subi une modification illicite avant leur publication auprès du grand public. La version 5.33 a été proposée entre la mi-août et le 12 septembre.

A priori, un attaquant aurait obtenu l'accès à une machine utilisée pour la création de CCleaner, et ainsi une attaque au niveau de la chaîne d'approvisionnement lors de la compilation. Les chercheurs en sécurité de Cisco Talos ont détecté l'application compromise la semaine dernière et ont prévenu Avast.

Du code malveillant pour un accès à distance comprend un algorithme de génération de noms de domaine, ainsi qu'une fonctionnalité de contrôle et commande, et le nécessaire pour envoyer de l'information chiffrée à propos d'un ordinateur infecté (nom de l'ordinateur, logiciels installés, mises à jour Windows installées, processus exécutés, adresses MAC).

Ce code malveillant ne s'exécute que sur des systèmes 32 bits. Dans un billet de blog, un responsable de Piriform confirme ce qu'il qualifie " d'incident de sécurité " et présente ses excuses. Il ajoute que " la menace a été résolue ", et " qu'à notre connaissance, nous avons été en mesure de désarmer la menace avant qu'elle ne puisse nuire. "

À Reuters, un chercheur de Cisco Talos indique que le problème a été détecté à un stade précoce, alors que les attaquants recueillaient de l'information de machines infectées, et pas encore pour les forcer à installer des malwares. Un serveur localisé aux États-Unis et vers lequel du trafic devait être redirigé a par ailleurs été fermé.

Piriform se montre rassurant (trop ?) et demande à tous les utilisateurs de CCleaner 5.33 en 32 bits de mettre à jour à la version 5.34 du logiciel (disponible depuis le 12 septembre), si ce n'est pas déjà fait. Pour CCleaner Cloud, la mise à jour est automatique.

Un peu moins rassurant, l'équipe Cisco Talos recommande aux systèmes affectés (3 % des utilisateurs de CCleaner selon Piriform) de procéder à une restauration avant la date du 15 août, voire à une réinstallation.