Ce qui semblait être une infection à l’aveugle des centaines de milliers de machines est en réalité une opération plus ciblée, destinée à l’espionnage économique.

Ce qui semblait être une infection à l’aveugle des centaines de milliers de machines est en réalité une opération plus ciblée, destinée à l’espionnage économique. / QUENTIN HUGON / « LE MONDE »

Les pirates qui ont infecté le logiciel CCleaner visaient en réalité au moins 18 firmes technologiques de premier plan, selon une première analyse du virus.

Les chercheurs en sécurité de la société Cisco ont récemment découvert qu’une version de CCleaner, un logiciel très populaire pour nettoyer un ordinateur et améliorer ses performances, avait été infectée avec un programme malveillant proposé aux internautes pendant plusieurs jours.

Lire aussi : Une version récente du logiciel CCleaner compromise

Les chercheurs de Cisco ont depuis mis la main sur le poste de contrôle du logiciel malveillant, c’est-à-dire l’endroit où étaient envoyées les instructions pour le contrôler. Après analyse, ils se sont aperçus qu’il contenait la trace des quelque 700 000 ordinateurs infectés ayant signalé leur présence à ce poste de contrôle. Plus intéressant, les chercheurs ont remarqué que les pirates avaient établi une liste permettant de sélectionner certains ordinateurs afin de leur faire parvenir une seconde version du logiciel espion, plus sophistiqué et intrusif.

Google, Sony, Samsung…

Cette liste lève le voile sur le dessein des pirates : ces derniers ont cherché à infecter des ordinateurs appartenant à des entreprises technologiques, comme Sony, Samsung, Epson, Akamai, Google et même Cisco. Selon l’entreprise Avast, qui a publié sa propre analyse du centre de commandement du virus, vingt ordinateurs dans huit de ces sociétés ont été contaminés par la deuxième phase du virus. Un chiffre qui peut paraître faible, mais qui s’explique par le caractère partiel des données que l’entreprise a pu se procurer. Cette dernière estime le nombre de machines infectées à plusieurs centaines, tandis que Cisco note que la liste des cibles des pirates pourrait être plus longue encore.

Ce qui est certain, c’est que ce qui semblait être une infection destinée à compromettre à l’aveugle des centaines de milliers de machines est en réalité une opération plus ciblée, très vraisemblablement destinée à l’espionnage économique. Certains chercheurs ont repéré dans le code du logiciel des similitudes avec un groupe – probablement étatique – d’espionnage déjà connu.

Attaque « de chaîne d’approvisionnement »

Cette attaque montre également les dégâts potentiels que peut causer le type d’attaque qui a visé CCleaner, dite « de chaîne d’approvisionnement ». Plutôt que de s’attaquer à leur cible finale, les pirates visent en amont et compromettent – par exemple – l’entreprise qui propose un logiciel qu’ils savent être utilisé par leur cible. C’est ce qui s’est passé pour CCleaner, mais également pour Petya.

Lire aussi : Les mystères de « Petya », faux rançongiciel mais vrai virus destructeur

Le patient zéro de ce rançongiciel qui a déferlé sur l’Europe en juin était l’éditeur d’un logiciel de comptabilité très utilisé en Ukraine qui a permis d’infecter très rapidement un grand nombre de cibles. « Ces attaques sont de plus en plus rapides et complexes », écrivent les chercheurs de Talos Cisco. Et d’autant plus efficaces qu’elles abusent de la confiance que placent les utilisateurs dans une société et son logiciel par ailleurs tout à fait légitimes.