Le piratage massif de CCleaner cachait une attaque ciblée

Des experts en cybersécurité décrivent une attaque très sophistiquée, venant de Chine, et dirigée contre des géants mondiaux de la tech’. Par Etienne Combier

https://www.lesechos.fr/tech-medias/hightech/030602111030-le-piratage-massif-de-ccleaner-cachait-une-attaque-ciblee-2116527.php

C'est un nouveau piratage informatique d'ampleur qui secoue la planète Web depuis le 18 septembre.

Ce jour-là, Piriform, qui édite le logiciel CCleaner, informe ses utilisateurs  que sa version d'août contenait un logiciel malveillant, ou malware. Le logiciel, qui permet de supprimer facilement les fichiers inutiles sur les PC, compte plus de 130 millions d'utilisateurs dans le monde.

L'éditeur d'antivirus Avast, qui possèdent Piriform et édite de fait CCleaner, fait profil bas, d'autant que cette mise à jour d'août a été  validée par son confrère Symantec et aurait donc dû être sans danger. L'entreprise tchèque a recommandé aux utilisateurs de télécharger sa version de septembre, expurgée dudit malware. Entre-temps, 700 000 personnes ont été infectées dans le monde.

Google, Microsoft ou Samsung touchés

L'histoire aurait pu s'arrêter là. Mais le 20 septembre dernier, des experts en cybersécurité ont découvert que cette attaque informatique était en réalité beaucoup plus pointue. Il ne s'agissait pas uniquement de pirater un logiciel largement utilisé dans le monde.

 

Selon des chercheurs de Cisco, le logiciel malveillant contre CCleaner cachait en réalité un logiciel indépendant, installé à distance sur des ordinateurs bien spécifiques. Ces derniers appartiennent à 18 entreprises de la tech mondiale comme Google, Samsung, Sony, Microsoft et... Cisco elle-même.

Un deuxième logiciel malveillant caché

Ce deuxième logiciel, retrouvé dans ces entreprises, avait pour but d'avoir accès à des informations techniques confidentielles, rapporte le magazine Wired. Pour Cisco, la volonté d'espionnage industriel est inscrite dans la nature du second logiciel, qui vient s'installer profondément dans les systèmes informatiques visés.

Cependant, le fait d'avoir retrouvé ce deuxième malware ne signifie pas nécessairement que la sécurité de ces entreprises a été mise à mal. Selon les experts de Cisco, 8 de ces 18 entreprises ont vu leurs défenses contournées. Avast  a confirmé ces chiffres, mais estime que le nombre d'entreprises effectivement infectées pourrait se compter en centaines, d'autant que le malware a été actif pendant près d'un mois.

Derrière un nuage de fumée, les pirates ont ciblé de manière très précise certaines entreprises. La méthode, sophistiquée, fait dire à de nombreux experts que l'attaque a été organisée par un Etat.

La Chine soupçonnée

Très rapidement, les soupçons se sont portés sur la Chine et un groupe de pirates appelé APT17.  Comme le relève Numérama, le spécialiste de Kaspersky Lab Costin Raiu et Intezer ont relevé des similitudes dans le code entre cette attaque et d'autres par le passé.

Ce groupe a en particulier à son tableau de chasse une cyberattaque persistante contre des entreprises technologiques américaines, et a notamment infiltré Microsoft, Google ou encore Adobe pendant de longs mois. Comme le rappelle Numérama, Internet Explorer était devenu un espion du gouvernement chinois et le fait de découvrir cette cyberattaque a conduit à un scandale diplomatique entre les Washington et Pékin.

Les experts ne peuvent cependant pas directement attribuer l'attaque contre CCleaner au gouvernement chinois : les hackers d'APT17 travaillent pour un plus grand groupe appelé Axiom, qui aurait lui-même des liens avec les services secrets chinois. Mais comme très souvent en cybersécurité, l'identification de l'attaquant reste délicate.

Une série de cyberattaques utilisant des logiciels de confiance

Plus largement, cette attaque contre CCleaner est représentative au sens où elle utilise un logiciel a priori sûr pour tromper la vigilance de ses utilisateurs. La cyberattaque ayant touché l'Ukraine en juin dernier a été menée selon le même principe, cette fois avec un logiciel de comptabilité extrêmement répandu dans les administrations.

Cette dernière, appelée « NotPetya » ou encore « WannaCry » partage également avec l'attaque contre CCleaner une caractéristique : le nuage de fumée qui cache une volonté très précise.

De fait, contrairement à ce que l'on croyait au début de l'attaque WannaCry, ce dernier n'était pas qu'un logiciel de rançon (ou ransomware). Comme a pu le rapporter Wired, ce logiciel malveillant a pu subtiliser des données confidentielles avant de  supprimer totalement les fichiers sur les ordinateurs infectés. Une attaque qui portait vraisemblablement la marque du gouvernement russe.

Comme le redoute l'Internet Society dans son rapport de prospective pour Internet, ces cyberattaques risquent d'affaiblir considérablement la confiance des internautes envers leurs logiciels, et plus largement envers Internet.

Etienne Combier

À lire aussi

Cyberattaque Petya : le but du virus serait de détruire les fichiers

Le cabinet de conseil Deloitte victime d'une cyberattaque

Wikipédia : Unité 61398  de l'armée populaire de Chine, basée à Shanghai, est chargée de conduire des opérations militaires dans le domaine des réseaux informatiques.

 

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.