Les utilisateurs de Ccleaner sont invités à mettre à jour le logiciel. Il a été découvert qu'une version distribuée en août a été modifiée en secret pour récupérer des données sur les ordinateurs.

Vous utilisez régulièrement Ccleaner pour nettoyer votre PC ? Vous ne ratez jamais une mise à jour du programme pour bénéficier des dernières nouveautés en termes d’optimisation ? Attention, vous avez peut-être été victime de l’action d’un logiciel malveillant sans le savoir.

L’entreprise qui développe Ccleaner, Piriform, a en effet publié un message indiquant que deux versions de son outil de maintenance — les versions v5.33.6162 (version 32 bits) et sur Windows — ont été modifiées à son insu pour effectuer dans le plus grand secret une collecte de certains renseignements sur les postes sur lesquels elles ont été installées.

ccleaner
L’interface de Ccleaner.

Les informations qui ont été récupérées sont les suivantes :

  • Nom de l’ordinateur ;
  • Liste des logiciels installés, dont les mises à jour Windows ;
  • Liste des processus actifs ;
  • Les adresses Mac des trois premières cartes réseau ;
  • Des éléments complémentaires (quels processus bénéficient des privilèges Administrateur, s’agit-il d’un système 64 bits, …).

« Une activité suspecte a été identifiée le 12 septembre, où nous avons vu une adresse IP inconnue recevoir des données […]. Grâce à une analyse plus poussée, nous avons constaté que [les versions du logiciel dont il est question] ont été modifiées illégalement avant d’être rendues publiques, et nous avons entamé une enquête à ce propos », explique la société Piriform.

« Nous avons aussi immédiatement contacté les services de police et collaboré avec eux pour résoudre le problème. […] La menace est maintenant réglée dans la mesure où le serveur voyou est hors-jeu, les autres serveurs potentiels sont hors de contrôle de l’attaquant et nous sommes en train de déplacer tous les utilisateurs de CCleaner vers la dernière version », ajoute-t-elle.

La menace est maintenant réglée

Sur Windows, la dernière version disponible date du 12 septembre et est numérotée 5.34.6207. Pour ceux et celles qui utilisent CCleaner Cloud, la mise à jour a été faite du côté de Piriform et il n’y a rien de particulier à faire. Si vous avez un ordinateur Windows et que vous vous servez de ce programme, il est conseillé de le mettre à jour même si Piriform indique qu’aucune nuisance n’a été signalée.

Des précisions techniques figurent dans le message d’information de Piriform. D’autres éléments sont également consultables sur le blog Talos Intelligence proposé par Cisco. L’auteur du billet, Edmund Brumaghin, note au passage une anomalie : cette version a été signée par un certificat valide émis par Symantec et que celui-ci est valide jusqu’en octobre 2018.

Quelle portée ?

Selon Talos Intelligence, la version incriminée a été distribuée aux internautes entre le 15 août et le 12 septembre. Quand on sait que CCleaner revendique 2 milliards de téléchargements dans le monde — en date de novembre 2016 — et 5 millions de nouveaux utilisateurs chaque semaine, ce sont donc des millions de personnes qui ont potentiellement été touchées.

Quant aux raisons de ce détournement, mystère :

« À ce stade, nous ne voulons pas spéculer sur la façon dont le code non autorisé est apparu dans le logiciel CCleaner, d’où vient l’attaque, combien de temps elle a été préparée et qui s’est tenu derrière. L’enquête est toujours en cours », écrit Paul Yung, le vice-président en charge des produits, qui remercie au passage le concours des équipes de l’éditeur d’antivirus tchèque Avast pour leur aide.

Piriform, une entreprise sise à Londres, a été achetée le 19 juillet par Avast.

Si la portée de l’incident et sa gravité restent à déterminer avec exactitude, l’affaire en fera sans doute sourire certains. En effet, Ccleaner est un diminutif de… Crap cleaner.

Partager sur les réseaux sociaux