L’application CCleaner toujours la cible des cyberattaques
C’est la deuxième fois que l’application CCleaner est victime de tentative ou même de cyberattaque.
Son détenteur actuel, Avast la firme de cybersécurité, est confronté à un dilemme des plus délicats. Interrogé par des journalistes, la responsable de la sécurité des systèmes d’information Jaya Baloo n’a pas hésité à noter que le problème informatique demeure toujours.
Cet article va aussi vous intéresser : Quel logiciel pour sécuriser mon Windows ? Voici 7 Suites de Sécurité les plus performants du moment
Elle a fait cas du réseau virtuel privé, sans aucune authentification de sécurité permettant de protéger un potentiel utilisateur : « C’était en principe un compte temporaire, le genre de compte créé pour une tâche bien particulière comme un backup ou une opération d’administration. C’était le seul compte VPN pour lequel l’authentification forte n’était pas activée et il aurait dû être supprimé, mais il ne l’a pas été.
Il est resté planqué au fin fond du répertoire de comptes VPN, et l’attaquant l’a utilisé après avoir réussi à voler l’identifiant et le mot de passe. Mais nous ne savons pas encore comment il a fait ça » souligna t’elle. Cependant ce n’est pas ce qu’on peut qualifier d’un faux positif car s’il y avait un point noir qui aurait dû découler d’une mauvaise interprétation, que les techniciens ont eu des alertes de sécurité qui leur a fait perdre beaucoup de temps.
En effet le 23 septembre dernier, l’équipe d’experts de la firme de cybersécurité avait remarqué qu’il y avait des incohérences dans le log de connexion. C’est là qu’ils virent un utilisateur connecté sur un réseau VPN, depuis un terminal Mac, alors que ce dernier n’avait aucune autorisation d’y être. Malheureusement cette action irrégulière a été passée pour un faux positif, donc une erreur dans les logs : « Toutefois, une enquête a été lancée pour vérification. Début octobre, il s’est avéré que les logs étaient parfaitement corrects. Ils s’expliquent par le fait que l’attaquant utilisait une machine virtuelle Mac et qu’il a effectué une élévation de privilèges pour accéder au contrôleur de domaine », expliquait Jaya Baloo.
C’est à partir de ce moment une alerte générale a été déclenchée et la production de logiciel s’est arrêtée. juste le temps de faire certaine vérification de produits, pour s’assurer que d’autres ne serait pas corrompu : « Toutes les versions logicielles des six derniers mois ont été contrôlées. Mais la priorité a été donnée aux logiciels pour entreprises, car c’est là où l’impact d’une infection potentielle est la plus élevée », déclarait la responsable.
Pour parer pour l’heure à toute éventualité, de nouveaux certificats ont été produits pour remplacer les anciens, et une mise à jour d’urgence a été aussi mise à la disposition des utilisateurs de CCleaner, donc elle était automatique, permettant de prendre les devants sur une quelconque attaque latente. Par ailleurs le compte VPN Temporaire a été mis en service : « C’était la chose qu’il fallait faire en dernier, pour ne pas attirer l’attention de l’attaquant » ,
La première responsable a assuré que les équipes sont en train de faire une vérification de tous les logs dont ils disposent, et que les identifiants ont déjà été réinitialisés. « Imaginez que vous avez une maison et dans une pièce vous avez vu des termites. Est-ce qu’ils sont également dans une autre pièce ? Ont-ils infesté toute la maison ? On ne sait pas. J’ai préféré partir du principe que toute l’infrastructure est compromise et qu’il fallait donc repartir de zéro » s’expliquait Baloo.
Accédez maintenant à un nombre illimité de mot de passe :