CCleaner ou je fais un malheur…

houston probleme

C’est l’affaire du moment,de par son ampleur qui fait pas mal de bruit dans le monde de la sécurité informatique.
Il faut dire que le célèbre utilitaire de nettoyage Ccleaner est devenu un incontournable des outils à avoir sur son Mac, son windows ou son Androïd. Cette nouvelle affaire médiatique est très intéressante et souligne bien des disfonctionnements. Voyons voir ce qu’il en est exactement…

Les faits…

« Euh…HUSTON on a un problème »

Ce lundi 18 septembre on apprend:

« Piriform, la société qui édite CCleaner, le célèbre logiciel d’optimisation tournant sous Windows, macOS et Android vient d’annoncer la découverte d’une porte dérobée dans la version cloud (1.07.3191) et Windows 32 bits (5.33) mise à la disposition du public entre le 15 août et le 11 septembre.
Les mises à jour de sécurité sont automatiquement appliquées pour la version cloud. Pour ce qui est de la version Windows, une mise à jour manuelle vers la 5.34 (disponible depuis le 12 septembre) est recommandée » (extrait article développez.com)

Mercredi 20 septembre

« Et ça continue encore et encore
C’est que le début d’accord, d’accord… « 

Les chercheurs de Cisco Talos Intelligence ont découvert un deuxième malware dans la version corrompue de CCleaner. En plus de la mise à jour du logiciel, ils recommandent de restaurer votre PC.

Donc pour résumer la chronologie :

-Lundi seules les versions 5.33 32 bits de Ccleaner classique et cloud sont touchées .
-Mercredi des chercheurs de CISCO découvrent qu’il existe aussi une seconde charge qui concerne aussi les ccleaner 64 bits et qui révèle un degré de sophistication bien plus élevé qu’il n’y paraissait de prime abord.

A priori, d’après le blog de Talos (voir source à la fin du billet) , on comprend que si l’attaque est de grande ampleur ,les cibles privilégiées sont surtout des sociétés des grands groupes ou des organisations étatiques.
Les premières investigations révèlent qu »un des serveurs control & commandes des attaquants serait chinois ( le fuseau horaire renvoyant à celui de la RPC).
Evidemment grande prudence,  avant d’imputer ça sur le dos des chinois, rien de plus simple que de laisser volontairement de tels indices pour accuser quelqu’un d’autre 0_o

Comment savoir si je suis infecté?

Déjà si vous êtes en 64 bits vous pouvez vous rassurer vous n’êtes pas concernés..
Bon ça c’était avant mercredi 🙁 Depuis on sait que toutes les versions 5.33 sont backdoorées.

1/ vous possédez une version 5.33 de Ccleaner ( ou 1.07 si version cloud) et vous êtes sous windows ,mac ou Androïd.

2/ Sous Windows , regardez si une des clés suivantes existent dans votre base de registre:

  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf\001
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP
  • HKLM\SOFTWARE\Piriform\Agomo

3/ Pour Mac et Android , pas vraiment d’infos disponibles sur les traces laissées par le trojan.

Pour l’anecdote un collègue avait la mise à jour automatique de ccleaner . Il s’est donc retrouver assez vite avec la 5.34 version « saine » mais la clé de registre « Agomo » suspectée était toujours présente.

Comment se désinfecter ?

On conseille de ne pas se limiter à la désinstallation de ccleaner cela ne suffira pas !!
Il faut restaurer son pc à un état antérieur au 15 août . La meilleure solution étant si possible de réinstaller complètement son système si toutefois vous disposez de sauvegardes saines.

Zoom sur la méthode de compromission

S’il y a bien quelque chose à retenir de cette alerte de sécurité , c’est bien la méthode de diffusion et de compromission de l’exécutable.

La fameuse porte dérobée (comprendre un bout de code qui permet à un attaquant d’exécuter sur votre machine du code à distance à partir d’une @IP précise )a été installée à la compilation du logiciel.
Et c’est pas fini, la version 5.33 « backdoorée » était disponible sur le site légitime de Piriform .
Elle a donc était signée,certifiée et poussée sur le serveur par quelqu’un de la boîte ou du moins quelqu’un qui aurait eu accès à un PC de Piriform.
Dans les prochains jours ambiance garantie entre collègues de Piriform.

ambiance

Et le Hash, c’est du poulet ?

Dans un monde idéal, le « hash » de ccleaner535.exe devrait être disponible en même temps que son téléchargement. Je vous renvoie à ce billet si vous ne vous rappelez plus ce qu’est l’empreinte d’un fichier.

Pour rappel, ce système permet de s’assurer de l‘intégrité d’un fichier téléchargé.

Or ici, sur le site de Piriform, pas de signature du fichier publiée !

Alors OK dans notre cas, c’était peine perdue! l’attaquant aurait très bien pu recalculer le hash et le publier en même temps que l’exécutable puisqu’il semblait détenir les clés du royaume. On peut pu imaginer aussi qu’un hébergement public  de signature sur d’autres serveurs indépendants de ceux de Piriform pouvait  contourner ce problème.

Moralité et idées reçues

Cette histoire de « ccleaner vérolé » est riche d’enseignements. Voici donc mes pseudos réflexions  en vrac:

-Loin de moi l’idée de troller, mais encore un problème de sécurité qui ne concerne pas les utilisateurs de Linux. Hein?!

-Ceux qui croient encore que payer une licence pour un antivirus les prémunirait de tout risque de contamination virale du méchant Internet. Bah c’est râté , la plupart des AV n’y ont vu que du feu et j’espère au moins que cela permettra une prise de conscience publique que seule des règles d’hygiènes numeriques appliquées au quotidien peuvent vous prémunir d’une bonne partie des infections.

Au passage, petite info on notera le rachat en juillet de Piriform par Avast , célèbre AV …ironie du sort, 2 mois plus tard c’est la première fois que le logiciel  est »pwné » par un virus…Coïncidence?

-On pourrait très bien vous faire culpabiliser sur le fait que vous simple utilisateur, vous installiez des utilitaires pour accomplir des tâches simples comme le nettoyage de fichiers temporaires sur votre système alors qu’en quelques lignes de scripts vous pourriez faire la même chose.

-On pourrait aussi accuser le système d’exploitation que vous utilisez de ne pas pallier naturellement à ce besoin.
C’est vrai quoi ,c’est pas compliqué de planifier un nettoyage automatique à la fermeture ou à l’ouverture de votre session, de réaliser une meilleure désinstallation des programmes sans laisser des bouts de répertoires et de clés de registre à droite, à gauche…Au passage ces actions sont réalisables sont windows10 mais c’est à vous d’aller chercher dans les menus , l’intuitivité du bidule laissant à désirer….

-On pourrait entendre aussi :
« bien fait pour les utilisateurs de logiciels propriétaires ca ne serait jamais arrivé s’ils avaient utilisé du logiciel libre« .
Peut être bien mais en fait dans ce cas précis NON..
Pour rappel , c’est en bout de chaine que la compromission s’est faite . Au moment de la compilation a été introduit la backdoor.
Donc certes,, avec du libre la source est clean, vérifiée par la communauté blablabla. ..SAUF que, en général les gens téléchargent l’exécutable ou l’archive et pas le fichier source.SEULS les barbus recompilent 🙂 Ainsi le consommateur de logiciel libre déplace implicitement sa confiance, de la source au fichier compilé et disponible en téléchargement sur le serveur . Entre ses deux étapes une intelligence maligne comme ici peut procéder à la modification de l’executable.

-Souvent en informatique on conseille d’avoir les dernières mises à jour de logiciel.
Bah la c’est râté , ceux qui avaient les mises à jour auto de ccleaner se sont retrouvés automatiquement infectés.

C’est pour toutes ces raisons que je pense que cette affaire ccleaner , de part son mode de compromission et son ampleur va forcément avoir des conséquences . L’idéal serait qu’il y ait une prise de conscience collective sur le fait que télécharger et installer un logiciel ne sont pas des actes anodins. Ils requièrent une totale confiance et malheureusement l’aspect virtuel de ces actions quotidiennes n’aide pas pour çà.

Mais mon pessimisme et les différentes réactions que j’ai pues lire sur la toile me poussent à penser que ce ne sont pas les habitudes des gens qui changeront mais juste le choix de l’outil:
« Moi j’utilise AdwCleaner , il est vachement mieux plus rapide et plus secure que ccleaner ».
La « E-reputation » étant celle du nombre , il n’aura pas de mal à supplanter le CCleaner comme Ublock l’a fait avec Adblock.

Sources techniques:

Article du 18.09.2017 sur blog de Piriform:
Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users blog Piriform

Article du 20.09.2017 sur Blog de Talos:
CCleaner Command and Control Causes Concern

5 commentaires sur CCleaner ou je fais un malheur…

  1. Bravo, complètement d’accord avec vous, l’hygiène sur le net est aussi importante qu’IRL.
    PS : Je découvre votre blog à l’instant, j’vais donc faire un p’tit tour 🙂

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*