CCleaner est un programme utilitaire conçu pour supprimer les fichiers indésirables d'un ordinateur. Le logiciel se débarrasse des fichiers temporaires qui occupent de l'espace disque et les clés de registre Windows non valides. Au cours du nettoyage, les fichiers malveillants cachés dans le système sont également supprimés. En janvier 2017, CNET a jugé le logiciel « très bon ».
Cependant, en septembre 2017, un programme malveillant inséré dans CCleaner a été découvert. Les pirates se sont approprié le programme légitime et ont inséré un code malveillant conçu pour voler les données des utilisateurs. Ils ont transformé un outil destiné à supprimer les programmes malveillants cachés de votre ordinateur en une menace sérieuse pour les informations sensibles et personnelles.
Description de la menace
Le logiciel malveillant se composait de deux chevaux de Troie, Trojan.Floxif et Trojan.Nyetya, insérés dans les versions gratuites de CCleaner version 5.33.6162 et CCleaner version Cloud 1.07.3191. On suppose que les pirates ont compromis l'environnement de construction de CCleaner pour insérer le programme malveillant.
Selon plusieurs rapports, le logiciel malveillant est capable de collecter des données spécifiques à partir d'un système informatique infecté, notamment des adresses IP et des informations sur les logiciels installés et actifs, et de les envoyer à un serveur tiers situé aux États-Unis.
La société mère de CCleaner, Avast Piriform, a détecté le programme malveillant le 12 septembre 2017 et a immédiatement pris des mesures pour remédier au problème. Au départ, l'entreprise estimait qu'il se limitait aux versions susmentionnées s'exécutant sur un système Windows 32 bits et que le téléchargement des versions mises à niveau du programme permettrait de résoudre le problème. On suppose que plus de 2 millions d'utilisateurs ont été infectés.
Malheureusement, l'entreprise a vite découvert que l'infection par le programme malveillant était plus grave qu'elle ne le croyait. Une charge utile dans une seconde étape de l'attaque a été découverte par Cisco Talos. Cette charge utile visait une vingtaine des plus grandes entreprises de technologie (notamment Google, Microsoft, Cisco et Intel) et a infecté 40 ordinateurs.
Selon un article de Wired, « Cisco dit avoir obtenu une copie numérique du serveur de commande et de contrôle des pirates grâce à une source anonyme impliquée dans l'enquête sur CCleaner. Le serveur contenait une base de données de chaque ordinateur piraté qui avaient « contacté » la machine des hackers entre le 12 et le 16 septembre. »
Même s'il n'existe aucune preuve définitive permettant d'identifier la partie responsable du programme malveillant de CCleaner, les enquêteurs ont découvert un lien avec un groupe de pirates chinois connu sous le nom d'Axiom.
Le programme malveillant de CCleaner partage le même code que celui des outils utilisés par Axiom, et les données d'horodatage sur un serveur compromis correspondaient au fuseau horaire chinois. Cependant, les données d'horodatage peuvent être changées ou modifiées, ce qui permet difficilement de localiser l'origine.
Le fait que CCleaner Malware puisse faire partie d'une attaque soutenue par un État a suscité des craintes, compte tenu du choix des cibles. L'enquête visant à déterminer les responsables du piratage est en cours depuis fin 2017.
Comment se débarrasser du programme malveillant de CCleaner ?
Lorsque le programme malveillant de CCleaner a été découvert pour la première fois, les utilisateurs ont été invités à mettre leur système à niveau vers la version la plus récente du programme, en pensant qu'il s'agissait d'un incident isolé et que les versions ultérieures étaient sûres. Toutefois, la découverte de la charge utile secondaire a compliqué le processus de suppression et de protection.
Mettre en place un plan de reprise après sinistre peut être le seul moyen de garantir que le programme malveillant de CCleaner est véritablement supprimé de votre ordinateur. Les chercheurs ont conseillé d'effectuer une restauration des systèmes vers les versions sauvegardées antérieures au 15 août, lorsque les premiers outils infectés ont été lancés.
Il faut désinstaller la version infectée de CCleaner et lancer l'antivirus pour être certain que le système est propre. Si vous décidez de réinstaller CCleaner, vous devez choisir la version la plus récente disponible, ou au moins la version 5.34 ou supérieure.
CCleaner est réputé pour être un excellent outil pour éliminer les programmes malveillants qui se cachent au plus profond des systèmes informatiques. Cependant, comme le prouve l'incident avec CCleaner Malware, même les programmes créés pour protéger nos ordinateurs contre les menaces ne sont pas à l'abri des pirates.
Articles connexes :
- Qu'est-ce qu'un adware?
- Qu'est-ce qu'un cheval de Troie?
- Faits et FAQ sur les virus informatiques et les programmes malveillants
- Courriers indésirables et phishing