CCleaner

Les fonctions de CCleaner sont les suivantes :

• suppression des fichiers en double ;
• correction des enregistrements de la base de registre ;
• désinstallation de programmes ;
• gestion des logiciels et services lancés au démarrage de Windows ;
• gestion des points de restauration système de Windows ;
• nettoyage de l'espace libre et des entrées périmées de la MFT ;
• analyse des disques de l'ordinateur ;
• recherche de doublons.

Le 18 septembre 2017, la société Piriform, éditrice du logiciel CCleaner, annonce avoir observé que deux versions 32 bits du logiciel (CCleaner v5.33.6162 et CCleaner Cloud v1.07.3191) ont été infectées par un malware : la version 5.33 correspondait de manière illégale avec un serveur situé aux États-Unis[5] - [6]. L'entreprise indique que la version suivante (5.34) résout le problème de sécurité[7].

Une société de sécurité informatique israélienne, avait informé Piriform le 12 septembre de l'infection, puis Talos Intelligence, la branche sécurité de Cisco[8], qui indiquait dans un rapport que la version compromise du logiciel était signée d'un certificat valide et proposée en téléchargement sur le site de l'éditeur pendant environ un mois[7].

Dans un billet publié le 19 septembre sur le blog d'Avast, la maison-mère de Piriform depuis juillet 2017, les dirigeants des deux sociétés indiquent que la version corrompue a été installée par un peu plus de 2,7 millions d'utilisateurs mais, grâce aux mises à jour poussées par Piriform, le nombre d'utilisateurs de cette version compromise de CCleaner est tombé à 700 000[7]. En outre, ils sont parvenus à identifier la machine utilisée pour opérer le malware et à la désactiver. De fait, l'attaquant n'a donc théoriquement plus de contrôle sur les machines infectées et ne peut plus les utiliser pour envoyer un code malveillant sur les machines-cibles[7]. Avast, ayant pris des mesures pour s'assurer que ce genre de problème ne se reproduira plus, indique que l'infrastructure de Piriform est à cette date en cours de migration vers celle d'Avast, permettant de disposer d'un meilleur contrôle sur la chaîne de développement des logiciels. Les utilisateurs ayant la version infectée sont invités à la supprimer et à utiliser la version à jour 5.34[5] - [7].

Le 20 septembre, on apprend que le malware implanté dans CCleaner cachait une seconde attaque, ciblée cette fois-ci. Selon Cisco, le logiciel malveillant cachait un logiciel indépendant visant les grandes entreprises comme Google, Samsung, Sony, Microsoft, HTC et Cisco elle-même, et cherchait à collecter des informations techniques confidentielles, s'installant profondément dans le système informatique des machines visées. La liste des entreprises ciblées aurait évolué au fil du temps, plusieurs centaines de noms de domaine d'organisations gouvernementales auraient été visés[9] - [10]. Les chercheurs de Cisco invitent les utilisateurs de CCleaner à « procéder à une restauration depuis une sauvegarde ou une image système pour s'assurer d'avoir complètement retiré non seulement la version de CCleaner contenant la porte dérobée mais également tout autre malware qui pourrait résider sur le système »[10].

Cette technique d'espionnage industriel, inscrite dans le second logiciel, fait dire aux observateurs que cette cyberattaque a été organisée par un État, la Chine étant suspectée[9] - [10].

La société Piriform, rachetée par Avast en juillet 2017[11] - [12] - [13], collecte[14] la version de votre système d'exploitation sur lequel le logiciel CCleaner est installé, ainsi que la présence du navigateur Google Chrome parmi les logiciels installés. Il est à noter que CCleaner propose l'installation des logiciels Google Chrome ou Avast Antivirus par défaut, sous forme de petite case pré-cochée dans le programme d'installation.

• 
  logo de CCleaner avant la quatrième version, sortie en 2013.
• 
  logo actuel de CCleaner depuis 2013.

• Wise Disk Cleaner
• BleachBit : logiciel open source gratuit.