Si vous avez installé CCleaner 5.33, votre machine est compromise! (mise à jour de 15:26)

CCleaner est un logiciel gratuit développé par Piriform. Il est utilisé pour faire de la maintenance semi-automatique sur votre ordinateur : vider les fichiers temporaires, optimisation des performances et gestion des applications installées.

Qui a été touché et que faire ?

Les versions 5.33 (32bits exclusivement) et CCleaner Cloud version 1.07.3191 qui ont été disponibles du 15 août 2017 au 11 septembre 2017 étaient infectées par un virus. Si vous avez installé l’une ou l’autre, vous êtes infecté.

Piriform indique ici que la mise à jour (ou la désinstallation) suffit pour éliminer le code malveillant, et cela mériterait tout de même d’être confirmé par des chercheurs.

Cisco Talos, les chercheurs qui ont procédé à l’analyse du malware, ont une position plus conservatrice sur le sujet : si votre machine a été compromise, il faut restaurer une sauvegarde antérieure à l’infection ou tout réinstaller depuis zéro. C’est effectivement la seule règle totalement fiable. Ils livrent une analyse technique particulièrement intéressante et complète qui vaut la peine d’être parcourue.

La vecteur d’infection semble avoir été déterminé : une des machines de développement servant à la conception du logiciel CCleaner aurait été compromise et le virus aurait été injecté directement dans le programme d’installation normal.

Les premières analyses révèlent que le virus ne fait que collecter des données sur la machine infectée (nom de l’ordinateur, logiciels installés, interfaces réseau) et les transmettait à un serveur qui a été mis hors service maintenant. Il n’a pas (encore) été utilisé pour d’autres actions et le préjudice est ainsi relativement faible.

La société Piriform a été rachetée par Avast en juillet 2017 (ils doivent être contents de leurs premiers 100 jours eux aussi). En plus du contexte particulièrement ironique (un développeur d’antivirus qui distribue un logiciel infecté avec un virus), il est intéressant de noter que Piriform avait déjà fait l’objet d’une infection du même ordre en 2011 où un serveur interne avait été compromis.

Il est difficile de donner de bonnes recommandations pour éviter une telle situation car aucune société n’est réellement à l’abri. On dit souvent que si un produit ou un service est gratuit, c’est que vous êtes le produit. Et bien que cela soit vrai (la communauté OpenSource fait l’exception parfaite à la règle), les logiciels payants ne sont pas pour autant à l’abri de mésaventures similaires.

Soyez vigilants, et n’installez que ce dont vous avez vraiment besoin! Et faites des sauvegardes (mais ça, je l’ai déjà dit!)

[Mise à jour de 15:26] : Avast vient de faire un communiqué officiel en donnant tous les détails

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *