CCleaner

Point de compromission dans la chaîne Rupture · étape CI/CD

Source

amont

Dépendances

deps

Build & CI

CI/CD

Packaging

artefact

Release

provenance

Registres

distribution

Déploiement

admission

Runtime

exécution

Rayon d'explosion — compromission à l'étape CI/CD, propagation possible aux consommateurs. Domaines : Orchestration, Intégration, Release, Fournisseurs

Gravité critique

Postes de développeurs compromis pour intégrer ShadowPad au build de CCleaner, distribue largement.

5.33

version piégée

2,3 M

téléchargements

~20

entreprises ciblées

~1 mois

en distribution

En bref

Date

15/08/2017

Gravité

Critique

Étape de la chaîne

CI/CD

Catégorie d'attaque

Build System Compromise

Domaines SOCLE

Orchestration+ Intégration, Release, Fournisseurs

Que s'est-il passé ?

Contexte

En septembre 2017, Cisco Talos et l'éditeur révèlent que CCleaner 5.33, distribué environ un mois depuis les serveurs officiels de Piriform (Avast), contenait une porte dérobée.

Mécanisme

Des postes de développeurs avaient été compromis pour injecter le code malveillant dans le build, en amont de la signature : l'exécutable piégé était donc signé légitimement et indiscernable d'une version saine.

Impact

~2,3 millions d'utilisateurs ont téléchargé la version infectée. Cette première charge servait de tête de pont à une seconde, ciblée vers une vingtaine de grandes entreprises technologiques pour de l'espionnage.

Parades

Durcir et isoler la plateforme de build, restreindre et tracer les accès des postes de développeurs, générer une provenance non falsifiable, et vérifier l'intégrité des artefacts à la réception.

Chronologie de l'attaque

septembre 2017

Découverte de la porte dérobée

Cisco Talos et l'éditeur révèlent que CCleaner 5.33, signé et distribué officiellement pendant environ un mois, est piégé (~2,3 M de téléchargements).

Comment l'attaquant a procédé

Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :

V-CI-12 Compromission de la plateforme CI V-DIST-1 Canal de distribution compromis

La leçon à en tirer

Ce qu'il faut retenir

Durcir et isoler la plateforme de build ; provenance non falsifiable ; intégrité a la réception.

Les exigences SOCLE qui auraient limité cet incident

Cet incident se rattache à 15 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :

Fournisseurs SOCLE-FRN-CTR-3SOCLE-FRN-DLV-1SOCLE-FRN-DLV-3SOCLE-FRN-GEN-3SOCLE-FRN-GEN-4SOCLE-FRN-SUP-2

Intégration SOCLE-INT-GEN-7

Orchestration SOCLE-ORC-GEN-1SOCLE-ORC-GEN-3SOCLE-ORC-GEN-5SOCLE-ORC-ITG-2SOCLE-ORC-ITG-4SOCLE-ORC-NET-1SOCLE-ORC-SEG-4

Release SOCLE-REL-GEN-3

Pour aller plus loin

Source d'origineLe compte rendu détaillé de l'incident Vecteurs : CI/CDLes attaques de cette étape de la chaîne Tous les incidentsLe catalogue filtrable

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →