James Steidl - Fotolia

Compromission de CCleaner : un signal d’alerte

Alors que l’enquête progresse sur la distribution d’une version infectée de l’utilitaire, un nombre croissant de voix s’élève pour souligner les leçons à tirer de l’incident.

Pendant près d’un mois, les serveurs de Piriform, éditeur de CCleaner racheté fin juillet par Avast, ont distribué, à son insu, une version de l’installateur de l’utilitaire dotée d’une charge malveillante.

Dans un billet de blog, Avast explique soupçonner que l’attaque, sur l’infrastructure de Piriform ait en fait commencé le 3 juillet. L’éditeur souligne en outre que la version compromise de CCleaner « est restée non détectée par quelque entreprise de sécurité pendant quatre semaines », ce qui met pour lui en évidence « la sophistication de l’attaque ». Dès lors, pour Avast, il s’agit d’une « opération bien préparée » qui a effectivement affecté 2,27 millions d’utilisateurs. 

Certains n’ont pas manqué, parfois avec ironie, de souligner qu’il s’agit d’une nouvelle attaque touchant la chaîne logistique du logicielle. Et que certaines leçons mériteraient d’en être tirées. Et cela commence par éviter de travailler au quotidien avec un compte utilisateur disposant des privilèges administrateur, comme l’a souligné Jérôme Saiz.

Le conseil apparaît d’autant plus pertinent que, comme le relève James Maude, ingénieur sécurité senior chez Avecto, « CCleaner est conçu pour être installé par un utilisateur doté des droits d’administration ». Et le logiciel malveillant ne s’exécutait justement que dans le contexte d’un tel compte utilisateur. Pour Maude, « cela signifie que le logiciel malveillant, et donc l’attaquant, pouvaient avoir un contrôle complet du système, et la capacité d’accéder quasiment à tout ce qu’ils voulaient. Cela rend ce genre d’attaque particulièrement préoccupant si le volume de téléchargements de ce logiciel laisse un grand nombre d’utilisateurs exposés ».

Chez Imperva, Itsik Martin, directeur de recherche, relève de son côté « qu’il n’y a pas grand-chose que peuvent faire les utilisateurs lorsque l’éditeur est compromis ». Et justement, pour lui, ce piratage « crée une nouvelle réalité où les utilisateurs doivent partir du principe que leurs ordinateurs fixes, portables et smartphones sont infectés, ce qui a été la réalité des responsables de la sécurité des entreprises au cours des dernières années ».

Marco Cova, chercheur en sécurité chez Lastline, fait le lien avec NotPetya, un autre cas d’attaque sur la chaîne logistique du logiciel « où un éditeur auquel on fait confiance est compromis et dont le mécanisme de distribution de mises à jour est détourné pour distribuer un logiciel malveillant ». Et pour lui, ce genre d’attaque, « c’est une sorte de Saint Graal pour les auteurs » de ces logiciels.

Mais dans le cas de CCleaner, pour lui, « il semble que le processus de compilation lui-même ait été compromis. C’est hautement problématique parce que cela indique que les attaquants ont été capables de contrôler une pièce critique de l’infrastructure utilisée par l’éditeur ».

Plus critique, Jonathan Cran, vice-président de BugCrowd en charge des produits, estime qu’il s’agit là moins d’une attaque par la chaîne logistique que d’un cas « de mauvaise sécurité côté éditeur. Puisque l’installateur était signé comme un binaire sûr signé par Piriform, ils n’ont pas réalisé et leur plateforme était probablement compromise ».

Avec nos confrères de SearchSecurity.com. 

Pour approfondir sur Protection du terminal et EDR

Close