CCleaner : en réalité, une attaque hautement ciblée

« Un acteur concentré sur la propriété intellectuelle de valeur ». C’est le profil que les équipes de Talos, la division renseignement sur les menaces, de Cisco soupçonnent d’être à l’origine du détournement de l’installateur de CCleaner, cet été.

Pour cela, ils se basent sur « une archive contenant des fichiers qui étaient stockés sur le serveur de commande et de contrôle » du logiciel malveillant. Hélas, celle-ci ne couvre que quatre jours du mois de septembre alors que la version vérolée de CCleaner a été distribuée pendant près d’un mois. Mais les fichiers récupérés présentent l’incident sous un tout autre angle : si plus de deux millions de personnes ont téléchargé le logiciel malveillant, beaucoup moins ont eu droit à la charge utile du second étage. Précédemment Vlcek Ondrej, patron de l’activité grand public d’Avast, estimait qu’elle n’avait jamais été activée. Et pour cause : cette seconde charge utile ne visant qu’une poignée d’entreprises. Une liste de domaines visés l’illustre : Samsung, Sony, Intel, VMware, Microsoft, Cisco, Linksys, Epson, MSI, Akamai, D-Link, ou encore les opérateurs Vodafone et O2. Au moins 20 machines à travers le monde apparaissent avoir été compromises.

Jusqu’ici, Avast estimait également que la menace était contenue, les serveurs de commande et de contrôle ayant été bloqués Si c’était vrai pour la première charge utile, ça ne l’est pas pour la seconde. L’éditeur reconnaît ainsi que les adresses des serveurs de commande et de contrôle de celle-ci « peuvent être arbitrairement modifiés à l’avenir en envoyant une commande spécifique ».

Pour les équipes de Talos, il faut voir là l’œuvre d’un « acteur sophistiqué », peut-être inconnu à ce jour. Surtout, la nature de l’attaque telle qu’elle est connue aujourd’hui renforce, selon elles, « la recommandation préalable […] de ne pas simplement supprimer la version affectée de CCleaner ou de mettre à jour vers la dernière version, mais aussi de restaurer à partir de sauvegardes ou de ré-imager les systèmes » concernés.

Avast n’est pas de cet avis. Pour l’éditeur, la mise à jour, associée à l’utilisation « d’un antivirus de qualité, comme Avast Antivirus » est une mesure suffisante, au moins « pour les consommateurs ». Pour les utilisateurs en entreprise, l’éditeur renvoie « aux politiques IT internes ». 

So, they tried to treat this serious, big problem as a small, not serious thing.
Not good from any company, even worse from an AV vendor...

— MalwareHunterTeam (@malwrhunterteam) September 21, 2017

Pour certains toutefois, l’approche d’Avast est là plus que discutable : « ils ont essayé de traiter un gros problème, sérieux, comme une chose peu sérieuse. Ce n’est pas bon pour n’importe quelle entreprise, c’est pire pour un éditeur d’antivirus ». L’historique de versions de CCleaner ne fait d’ailleurs pas mention, pour la toute dernière version, de la suppression de la charge malicieuse.