Le bel été d'Avast: CCleaner acheté en juillet, vérolé en août (mais soigné en septembre)

Après un an de digestion suite à l’ajout d’AVG dans son giron (à 1,3 milliard de dollars le bout tout de même), l’appétit est revenu au galop pour Avast qui s’est enfilé Piriform, auteur d’un CCleaner que l’on ne présente plus, en début d’été. Puis, à l’aise dans ses tongs et son slip à fleurs, l’entreprise tchèque est allée attendre la rentrée en s’accoudant au bar, commandant spritz sur mojito tout en se félicitant grassement du rachat de la société anglaise comptant 130 millions d’utilisateurs.

Du balai, y a rien à voir

Pendant que le derme d’Avast se colorait doucement sous le soleil de l’été, un drame se jouait en coulisse (derme/drame, au comptoir on joue avec les mots tel des jongleurs de poules enflammées, no fear quoi). Un sagouin, quelque part, mettait ses viles mains dans le code des versions 32-bit (et uniquement les 32-bit) de CCleaner 5.33.6162 et CCleaner Cloud 1.07.3191. Plus exactement, le hacker a glissé une porte dérobée à deux étapes (two-stage backdoor) nommée « Floxif » dans le code d’initialisation (CRT pour Common Runtime) lors de la compilation finale du soft avant sa distribution. Ceci implique très certainement un accès direct (ou facilité en interne) aux machines de Piriform et impose un petit Cluedo apportant à coup sûr une ambiance chaleureuse au bureau. Suspens, on se demande bien qui a volé l’orange.

...dans la série Régis est un con, aujourd'hui: Régis code

La partie ajoutée au code original avait ensuite les coudées franches pour se permettre certaines indélicatesses comme la collecte et l’envoi sur un serveur US du nom de l’ordinateur, de la liste des softs installés, des processus en cours, de l‘adresse MAC des trois premières cartes réseau ainsi que de quelques menues informations complémentaires (machine 64-bit ou pas, application lancée en mode administrateur ou non). La seconde étape du hack, plus vicieuse, permettait le téléchargement en arrière-plan de logiciels malveillants, mais Talos, la société qui a levé le loup affirme que cette étape n’a pas été franchie, mouais.

L’infection s’est répandue sur une courte période puisque CCleaner 5.33.6162 le maudit est sorti le 15 août et que la version 5.34, propre sur elle, a été proposée le 12 septembre. La version décadente de CCleaner Cloud 1.07.3191, datée du 24 août a été remplacée par la saine 1.07.3214 le 15 septembre. Ce laps de temps a cependant été suffisant pour infecter 2,27 millions de postes, mazette! Résultat, vacances terminées pour Piriform et Avast, on range les tongs et tout le monde sur le pont, fissa. Position délicate que celle d’un éditeur d’antivirus possédant un logiciel censé nettoyer et chouchouter les machines qui, après infection, commence à cafter les infos et installe ce qui lui chante. Attendez, on nous chuchote à l'oreillette qu’à la suite de ces péripéties le vice-président des produits Piriform, Mr Yung (véridique Rivers), a pris un léger coup de vieux, huhu.

La prochaine fois, demandez à McAfee, la vérole ça le connait!

Avast communiquant ce jour sur l'incident indique qu'à l'aide de l'inspecteur Derrick (cela dit vu la santé de ce dernier, surement pas que) la source de commande liée à l'infection aurait été niqumoukée rendant à priori obsolète l'infection des quelques 2 gros millions d'utilisateurs touchés. Selon leurs analyses internes, sachant que 30% des utilisateurs de CCleaner utiliseraient également la suite de sécurité Avast -ce qui signifie donc qu'une grosse tartine de ces données revient à la maison...-, la seconde phase de l'infection n'aurait pas été lancée avant les contre-mesures de la firme. Cette dernière recommande de simplement upgrader à une version plus récente pour se débarrasser du problème (l'executable de CCleaner en fait), sans besoin de se taper une restauration bien lourde, recommandation matérialisée par une notification aux utilisateurs de la 5.33 moisie pour les inviter à le faire.