Passer au contenu

CCleaner de nouveau ciblé par les hackers chinois

Des pirates ont réussi à rentrer dans le réseau interne de l’éditeur Avast, apparemment dans le but d’insérer un cheval de Troie dans son célèbre utilitaire.

La société Avast, qui édite l’antivirus éponyme et l’utilitaire CCleaner, a de nouveau été piraté. Des hackers se sont appuyés sur un compte VPN dépourvu d’authentification forte pour accéder au réseau interne de la société, où ils ont effectué une élévation de privilèges pour obtenir les droits d’un administrateur de domaine Active Directory. Ce qui est l’un des pires scénarios qui puissent arriver. Avast a découvert cette intrusion le 23 septembre 2019. L’analyse des logs montre que les hackers ont pénétré son réseau depuis au moins le 14 mai 2019.

Les pirates sont restés pendant cinq mois

Avast n’a éjecté les pirates qu’à partir du 15 octobre. « Afin de suivre l’acteur, nous avons laissé ouvert le profil VPN temporaire, en continuant de surveiller et d’enquêter sur tous les accès passant par le profil jusqu’à ce que nous soyons prêts à mener des actions correctives », explique l’éditeur dans un communiqué. Au total, les pirates ont donc oeuvré pendant au moins cinq mois.

Les premières analyses suggèrent que les hackers cherchaient à compromettre le célèbre logiciel CCleaner, dans le but d’infecter ses utilisateurs par un cheval de Troie. Un schéma d’attaque qui a déjà fait ses preuves. En 2017, des hackers chinois du groupe Axiom, alias APT17, avaient réussi à pirater les serveurs d’Avast pour insérer un malware dans une mise à jour du logiciel utilitaire. Celui-ci a été téléchargé par plus de deux millions d’utilisateurs. D’après l’agence de cybersécurité tchèque BIS, cette nouvelle attaque sur Avast serait également l’œuvre de hackers chinois. Rien n’indique, pour l’instant, qu’il s’agit du même groupe de pirates.

Les utilisateurs de CCleaner ne seraient pas affectés

Quel est l’impact pour les centaines de millions d’utilisateurs de CCleaner ? Apparemment aucun. Par mesure de précaution, Avast a décalé la mise à jour du 25 septembre vers le 15 octobre, histoire d’être certain de diffuser une version non vérolée. L’éditeur a également vérifié que les mises à jour précédentes n’avaient pas subi d’altérations. Il a également révoqué l’ancien certificat de signature électronique. « Nous sommes confiants : nos utilisateurs CCleaner sont protégés et non affectés », souligne Avast dans son communiqué. Tous les identifiants internes à la société ont par ailleurs été réinitialisés.

L’éditeur tchèque compte maintenant blinder davantage son infrastructure pour prévenir ce type attaque. Espérons qu’il y arrivera.  

Sources : Avast, BIS


Gilbert KALLENBORN
Journaliste