Piriform, la société derrière la populaire application CCleaner, vient d’annoncer que son application a été détournée et utilisée pour recueillir des informations sur ses utilisateurs et l’envoyer à une partie inconnue.
Les hackers préfèrent généralement pénétrer des serveurs pas vraiment sécurisés, afin d’obtenir les données qu’ils souhaitent de cette manière. Mais, cela signifie généralement que les webmasters et les développeurs ne font pas leur travail. La modification du code d’une application capable de recueillir des informations sur les périphériques de l’utilisateur avant que celle-ci ne soit distribuée se trouve à un autre niveau.
Piriform n’a rien mentionné sur la façon dont ses systèmes ont été pénétrés ou comment l’exécutable a été modifié avant le lancement, mais l’éditeur a révélé tout ce qui s’est passé, et c’est plutôt catastrophique. En fait, si vous lisez la brève description de cette fuite, c’est encore plus terrifiant. « Une modification non autorisée du binaire CCleaner.exe a entraîné l’insertion d’une backdoor [porte dérobée] en deux étapes, capable d’exécuter le code reçu d’une adresse IP distante sur les systèmes affectés« , a écrit Paul Yung, vice-président pour les produits chez Piriform.
Quelle était la demande ?
S’il s’avère que l’attaque devait se faire en deux étapes, les hackers n’ont jamais vraiment atteint celle-ci. Deux versions de CCleaner ont été affectées : la version 5.33.616 pour les ordinateurs de bureau 32 bits, et la version 1.07.3191 qui est la variante cloud. Autrement dit, la version 64 bits n’a pas été infectée, probablement pour éviter d’attirer tous les regards.
En ce qui concerne les informations recueillies par CCleaner et envoyées à une adresse IP quelconque, cela reste un mystère. Paul Young a expliqué que le nom de l’ordinateur, la liste des logiciels installés et les mises à jour de Windows, la liste des processus en cours d’exécution, l’adresse MAC des trois premières cartes et certaines autres informations relatives aux processus exécutés par l’administrateur étaient toutes des données collectées, chiffrées et envoyées.
Avast Threat Labs a aidé à l’enquête, mais l’analyse est toujours en cours. Les autorités ont été informées et une mise à jour a été publiée pour tous les utilisateurs, peu importe la plateforme. Reste à voir si quelque chose de plus surgira dans les prochains jours sur la localisation des hackers, ou leur but réel. CCleaner a été téléchargé plus de 2 milliards de fois selon Avast, ce qui en fait une cible populaire pour les pirates informatiques.