CCleaner : la version 5.33 infestée par un malware

CCleaner s’est retrouvé au coeur d’une polémique en début de semaine. Deux mises à jour officielles du logiciel ont en effet été contaminées par un malware. La découverte de cette contamination a été faite par les chercheurs en sécurité du groupe Cisco Talos. Selon les informations communiquées par l’éditeur, les hackers ont injecté le malware en même temps que l’installation des mises à jour CCleaner v5.33.6162 pour Windows 32 bit et CCleaner Cloud v1.07.3191.

Près de deux millions d’utilisateurs ont téléchargé la version contaminée par le malware. Les spécialistes du groupe Cisco Talos ont immédiatement prévenu Avast, le développeur de CCleaner, qui a retiré la version touchée. Même si le problème a été vite résolu, tous ceux qui ont installé la mise à jour du logiciel devront s’assurer qu’ils n’ont pas la version 5.33.

Si c’est le cas, la meilleure des décisions à prendre est de désinstaller cette version via Windows ou de refaire une mise à jour vers la version 5.34.

Des hackers expérimentés

Les experts en sécurités ont indiqué que le malware s’est infiltré par une porte dérobée qui permettait aux pirates d’installer un deuxième logiciel malveillant pour collecter les informations dont les hackers avaient besoin.

Selon Cisco, il s’agissait d’un malware dormant. Par chance, le serveur a pu intercepter le logiciel malveillant avant qu’il ne se réveille. Ce genre de piratage n’est pas une nouveauté pour les experts.

CCleaner revient à la normale

L’entreprise en charge de la distribution du logiciel CCleaner a vite fait de supprimer les versions contaminées pour les remplacer par de nouvelles versions non corrompues. Les utilisateurs de la référence en matière de nettoyage de système et d’optimisation ne craignent plus grand-chose.

Malgré cela, le malware a eu le temps d’infecter des millions d’ordinateurs depuis sa date de sortie, le 15 août 2017. Ainsi pour assurer une protection optimale, les spécialistes en sécurité préconisent quand même l’installation d’une nouvelle mise à jour CCleaner vers la version v5.34 ou vers le CCleaner Cloud 1.07.3214.

CCleaner a eu plus de peur que de mal cette fois-ci. De son côté, Avast renforcera certainement ses paramètres de sécurité. Les autres éditeurs seront également sur leur garde suite à cet évènement.

3 réflexions au sujet de “CCleaner : la version 5.33 infestée par un malware”

  1. Bonjour,

    Je fais partie des deux millions (à mon avis beaucoup plus) de victimes, et j’ai vérifié les cinq PC en fonctionnement chez moi. Le seul 32 bits n’avait par bonheur pas été mis à jour depuis la version 5.20, un laptop et le mini-PC qui me sert de centre multimédia avaient tous deux la version 5.33, donc le virus, et mon PC principal l’avait eu. J’ai pu restaurer le laptop au 15 août au matin où il avait 5.32, et je n’ai plus qu’à espérer que je n’ai pas cliqué par mégarde CCleaner.exe sur le mini-PC, car la restauration de Windows 10 avec toutes les mises à jour arrivées depuis prendrait des heures.

    Il me reste à revoir tous les PC des copains que j’ai dépannés depuis le 15 août. Ma réputation de geek risque de prendre un vieux coup.

    Le virus état détecté déjà il y a plusieurs jours par ClamWin comme Win.Trojan.Floxif-6336251-0. Je constate ce matin que Windows Defender et Microsoft Security Essentials l’identifient enfin. Les antivirus arrivent forcément comme la cavalerie, après la bataille.

    Le malware est dans l’exécutable 32 bits CCleaner.exe. Si le système est 64 bits, le raccourci lance CCleaner64.exe et on ne devrait rien risquer. Je me suis pourtant toujours demandé pourquoi l’installeur, qui détecte parfaitement que le système est 64 bits, sait choisir le bon dossier programmes et créer le bon raccourci, copie quand même CCleaner.exe.

    En tout cas, je trouve qu’Avast se comporte en cette occasion avec une légèreté coupable. On peut avoir lancé l’exécutable 32 bits par erreur sur un PC 64 bits. Avec les 32 bits, comme le disait un site américain, si on a installé CCleaner après le 15 août on a un botnet décapité qui tourne sur le PC. De plus, beaucoup de PC encore utilisés ont des processeurs 64 bits mais, livrés avec trop peu de RAM, ils tournent avec Window 32 bits. Ça m’a souvent étonné de découvrir ça sur les PC de mes amis.

    Il faut demander qu’ils diffusent un patch de détection et de suppression du botnet. À moins que ce soit un rootkit, trop difficile à éliminer…

    Vu la date, serait-ce un sabotage lié à l’acquisition par Avast ? Si je travaillais pour Piriform, je n’aurais pas du tout aimé cette nouvelle. D’ici à ce que j’abandonne CCleaner, Recuva, Speccy, il n’y a pas loin…

    Répondre
  2. Une nouvelle observation sur les suites de cette infection. Il y a deux jours, j’ai fait une petite maintenance du PC portable W10 64 bits de ma femme, mis à jour à v5.34 sans passer par 5.33, et j’ai constaté que le raccourci de lancement rapide ne trouvait plus CCleaner64.exe, pourtant présent sur le disque dur. Vraisemblablement bloqué par Windows Defender. J’ai écrasé le contenu du dossier par celui de l’archive zip contenant la version 5.35 et le raccourci a recommencé de fonctionner.

    Vraisemblablement une précaution de Microsoft pour forcer tout le monde à faire une mise à jour, mais est-ce que quelqu’un d’autre a constaté ce comportement sur Windows 10 ?

    Je me demande aussi comment les hackers, qui semblent si malins, ont pu se contenter d’infecter l’exécutable 32 bits s’ils visaient de très gros poissons qui n’utilisent sans doute plus de systèmes 32 bits, d’autant que je crois avoir lu que le code malicieux était dans les fichiers sources.

    Répondre

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.