Avast révèle avoir été la victime d'une attaque dont le but aurait été une nouvelle fois de compromettre les publications de l'utilitaire CCleaner directement depuis la chaîne d'approvisionnement, comme cela avait été le cas en 2017 (avant le rachat de Piriform par Avast).

Dans un billet de blog, Avast explique avoir découvert le 23 septembre qu'un attaquant avait obtenu un accès à son réseau interne après la compromission des identifiants du client VPN d'un collaborateur. Il est parvenu à obtenir des privilèges d'administrateur de domaine.

Après analyse, Avast a déterminé que les tentatives d'accès au réseau remontaient au 14 mai dernier. La compromission a été possible en raison d'un profil VPN activé par erreur et ne nécessitant pas une double authentification.

Dans cette affaire, Avast a fait le choix assez audacieux de laisser le profil VPN temporaire ouvert pour essayer de suivre à la trace l'intrus et mener les actions correctrices idoines qui sont du reste allées au-delà du seul cas de CCleaner. Ce profil VPN a été fermé le 15 octobre.

CCleaner_logo

L'enquête est toujours en cours, mais avec toutes les précautions qui ont été mises en œuvre, Avast estime pouvoir dire " en toute confiance " que les utilisateurs de CCleaner - qui a été signé avec un nouveau certificat électronique - sont protégés et n'ont pas été affectés.

De manière très transparente, Avast donne des détails sur cet incident. Le billet de blog a également été traduit en français. Pour Avast, l'attaque - du moins la tentative - était extrêmement sophistiquée. Le nom Abiss lui a été affublé.

À ce stade, Avast ne sait pas si le ou les attaquants sont les mêmes que ceux en 2017 (avec une piste d'attaquants chinois). CCleaner continue manifestement de susciter un intérêt stratégique pour des attaquants.