CCleaner : une porte dérobée dissimulée dans le célèbre logiciel pendant un mois
Des mises à jour sont désormais disponibles

Le , par Patrick Ruiz, Chroniqueur Actualités
Piriform, la société qui édite CCleaner, le célèbre logiciel d’optimisation tournant sous Windows, macOS et Android vient d’annoncer la découverte d’une porte dérobée dans la version cloud (1.07.3191) et Windows 32 bits (5.33) mise à la disposition du public entre le 15 août et le 11 septembre. Les mises à jour de sécurité sont automatiquement appliquées pour la version cloud. Pour ce qui est de la version Windows, une mise à jour manuelle vers la 5.34 (disponible depuis le 12 septembre) est recommandée.



L’alerte sécurité donnée conjointement par Paul Yung, responsable produit chez Piriform et la firme de sécurité Cisco Talos fait suite à la découverte (par Cisco Talos) de communications suspectes détectées entre l’exécutable de CCleaner et l’adresse IP d’un centre de contrôle et commande. Paul Yung s’exprimant à ce sujet écrit : « une modification non autorisée de l’exécutable de CCleaner a conduit à l’insertion d’une porte dérobée permettant l’exécution de code reçu d’une adresse IP distante sur les systèmes affectés. »

D’après ce que rapporte Reuters à ce sujet, Piriform a travaillé en tandem avec les forces de l’ordre pour fermer ledit centre de contrôle et commande situé aux États-Unis. « La menace est maintenant hors d’état de nuire avec la fermeture de ce serveur et la mise hors d’atteinte par les cybercriminels des autres centres de contrôle et de commande potentiels », a écrit Paul Yung. On sait donc tout des événements qui font suite à la corruption de l’exécutable, les firmes étant suffisamment exhaustives à ce sujet, mais pour ce qui est de la façon dont les cybercriminels ont procédé, difficile de faire autrement que se prêter au jeu des spéculations.

Un attaquant aurait eu accès à une machine utilisée pour la création de CCleaner rendant une attaque au niveau de la chaîne d’approvisionnement de Piriform possible.

Sources : Billet de blog Paul Yung, Cisco Talos

Et vous ?

Qu’en pensez-vous ?

Voir aussi :


Avast rachète Piriform, l'éditeur de CCleaner, le célèbre logiciel d'optimisation des dispositifs tournant sur Windows, macOS et Android


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de nchal nchal - Membre expérimenté https://www.developpez.com
le 18/09/2017 à 18:54
Précisons que la vulnérabilité ne touche que les versions 32 bits du logiciel donc pas tout ceux qui ont téléchargé la version 5.33.
Précision importante d'ailleurs, je suis déçu que l'auteur ne l'ai pas souligné... C'est d'ailleurs dans le titre du billet de blog cité en source.
Avatar de abbe2017 abbe2017 - Membre confirmé https://www.developpez.com
le 18/09/2017 à 19:18
comment un logiciel dont le code source n'est pa public (pas opensource) peut se faire "injecter" une backdoor ?

est-ce en incluant une librairie/dll externe dans l'exe qui n'aurait pas été vérifiée ?
ou une coco dans la team déveloper qui n'était pas honnête?

un bug je comprends, mais une backdoor, là je sèche.
Avatar de koyosama koyosama - Membre éprouvé https://www.developpez.com
le 18/09/2017 à 19:39
Citation Envoyé par abbe2017 Voir le message
comment un logiciel dont le code source n'est pa public (pas opensource) peut se faire "injecter" une backdoor ?

est-ce en incluant une librairie/dll externe dans l'exe qui n'aurait pas été vérifiée ?
ou une coco dans la team déveloper qui n'était pas honnête?

un bug je comprends, mais une backdoor, là je sèche.
Tu prends le logiciel, tu fais du reverse engineering, ensuite tu compile le nouveau code avec la porte derobe et tu met sur toutes les platformes comme sourceforge ou clubic. Hop vu que personne ne verifie le hash du logiciel, hop et voila. Voila comment les pirates font.
Avatar de benjani13 benjani13 - Membre chevronné https://www.developpez.com
le 18/09/2017 à 21:27
Citation Envoyé par abbe2017 Voir le message
comment un logiciel dont le code source n'est pa public (pas opensource) peut se faire "injecter" une backdoor ?

est-ce en incluant une librairie/dll externe dans l'exe qui n'aurait pas été vérifiée ?
ou une coco dans la team déveloper qui n'était pas honnête?

un bug je comprends, mais une backdoor, là je sèche.
Citation Envoyé par koyosama Voir le message
Tu prends le logiciel, tu fais du reverse engineering, ensuite tu compile le nouveau code avec la porte derobe et tu met sur toutes les platformes comme sourceforge ou clubic. Hop vu que personne ne verifie le hash du logiciel, hop et voila. Voila comment les pirates font.
Ce n'est pas ce qui s'est passé (même si c'est un scénario très répendu). Dans le cas de CCleaner, quelqu'un a intégré un second exécutable à l'installer 32 bits de CCleaner, et a réussi à signer (ou à faire signer) l’installer avec le vrai certificat de Piriform. L'attaquant pour finir a réussi à faire en sorte que l'installer modifié et signé soit mis à la place de l'installer original sur le serveur de téléchargement de Piriform. Donc là aucun moyen de se rendre compte de la supercherie (serveur de téléchargement légitime, installer signée avec le certificat légitime).

Reste à voir comment cela a été possible, soit l'attaquant a réussi à infiltrer son installer en amont du processus de publication des nouvelles version de CCleaner (les gens de CCleaner n'ayant pas vu la supercherie et ayant signée et publiée l'installer), soit l'attaquant a lui même signée l'installer (vol du certificat) et l'a lui même placé sur le serveur de téléchargement (compromission de ce serveur). C'est ce qu'on appelle une "supply chain attack", délivrer un malware au travers d'un canal légitime.
Avatar de BufferBob BufferBob - Expert éminent https://www.developpez.com
le 19/09/2017 à 7:31
Citation Envoyé par abbe2017 Voir le message
comment un logiciel dont le code source n'est pa public (pas opensource) peut se faire "injecter" une backdoor ?
de la même façon qu'un jeu (dont le code source n'est pas public non plus) se fait cracker

Citation Envoyé par benjani13 Voir le message
(...)
j'ai été ton 1337ème
Avatar de kiprok kiprok - Membre averti https://www.developpez.com
le 19/09/2017 à 8:46
Pour info : ClamAV semble détecté le problème (en attendant que les autres AV soient mis à jour)
Avatar de koyosama koyosama - Membre éprouvé https://www.developpez.com
le 19/09/2017 à 11:34
Citation Envoyé par benjani13 Voir le message
Ce n'est pas ce qui s'est passé (même si c'est un scénario très répendu). Dans le cas de CCleaner, quelqu'un a intégré un second exécutable à l'installer 32 bits de CCleaner, et a réussi à signer (ou à faire signer) l’installer avec le vrai certificat de Piriform. L'attaquant pour finir a réussi à faire en sorte que l'installer modifié et signé soit mis à la place de l'installer original sur le serveur de téléchargement de Piriform. Donc là aucun moyen de se rendre compte de la supercherie (serveur de téléchargement légitime, installer signée avec le certificat légitime).
Ok je prends note pour moi . Toujours utile pour humhum ... securise mon environnement.
Avatar de Picarunix Picarunix - Nouveau membre du Club https://www.developpez.com
le 19/09/2017 à 13:07
Ccleaner est un utilitaire dont on a besoin quand on est sous Window's.
Ccleaner démontre par ses fonctions que Window's , depuis le temps qu'il existe, ne sait toujours pas exécuter ce genre de nettoyage automatiquement, nativement.
On pallie donc à cette lacune en téléchargeant Ccleaner... pour se faire infecter !

A qui la faute ? A Ccleaner dont le serveur a été accessible et vérolé ? Ou à Microsoft pour les raisons évoquées plus haut ?
Avatar de AndMax AndMax - Membre confirmé https://www.developpez.com
le 19/09/2017 à 18:17
A qui la faute ? A Ccleaner dont le serveur a été accessible et vérolé ? Ou à Microsoft pour les raisons évoquées plus haut ?
La faute aux 2:
- CCleaner (ou ses éditeurs Piriform/Avast) pour avoir distribué ce malware.
- Microsoft pour ne pas avoir de bonne logitèque intégrée ou de bon gestionnaire de paquets (comme n'importe quelle distribution moderne).

Est-ce qu'il y a un lien entre le rachat de Piriform par Avast et ce fiasco ? Ou est-ce juste une énorme coïncidence d'avoir la première version depuis ce rachat qui est vérolée ?

En attendant, qui a déjà essayé BleachBit ? Celui-ci est libre et non dépendant d'un éditeur de logiciels privateurs.
https://www.bleachbit.org/
Avatar de BufferBob BufferBob - Expert éminent https://www.developpez.com
le 19/09/2017 à 18:28
Citation Envoyé par AndMax Voir le message
La faute aux 2:
- CCleaner (ou ses éditeurs Piriform/Avast) pour avoir distribué ce malware.
- Microsoft pour ne pas avoir de bonne logitèque intégrée ou de bon gestionnaire de paquets (comme n'importe quelle distribution moderne).
il me semble au contraire que l'on omet tout un tas de coupables (j'adooore les coupables, ça m'apaise voyez vous...)

la faute également :
- aux parents de Bill Gates qui l'ont fait naître, et donc ont permis que Microsoft voit le jour
- aux amérindiens qui se sont laissé exterminer et ont permis que l'homme blanc colonise l’Amérique du nord
- aux dinosaures qui ont laissé le champs libre aux hominidés, les locaux de Microsoft en sont remplis
- à François Hollande qui... ben il a rien à voir là dedans mais il est toujours coupable de toutes façons, c'est connu.

Contacter le responsable de la rubrique Accueil