Une version contrefaite de l’environnement de développement Xcode d’Apple a permis la compilation d’applications contenant un cheval de Troie. La situation s’est surtout produite en Chine et Apple a depuis fait le ménage. Le cas rappelle cependant qu’aucune plateforme n’est à l’abri d’un souci de sécurité.
Les différentes boutiques servent de portail pour récupérer des applications depuis les appareils mobiles. Parmi leurs prérogatives, il faut noter que des processus de sécurité doivent empêcher les utilisateurs de récupérer des versions vérolées ou plus globalement des créations dont le seul objectif est de dérober des données personnelles ou conduire à des arnaques. Voilà pourquoi il est souvent conseillé aux utilisateurs d’Android de faire attention quand ils téléchargent depuis des boutiques tierces, une opération permise sur cette plateforme (après modification des paramètres).
Un Xcode contenant un compilateur malveillant
Cela n’empêche pas pour autant des systèmes plus stricts d’être eux aussi victimes de soucis de sécurité. On a pu le voir ces derniers jours avec XcodeGhost, nom donné à un cheval de Troie retrouvé dans certaines applications iOS. Mais comment une telle menace a-t-elle pu passer les sas de validation d’Apple vers l’App Store ? Parce que les applications vérolées avaient tous les airs de projets authentiques.
Ces applications ont en fait été compilées à l’aide d’une version non authentique de Xcode, l’environnement de développement proposé par Apple pour les projets ciblant toutes ses plateformes. Comment les développeurs ont récupéré initialement cette version contaminée, le mystère demeure, mais la société de sécurité Palo Alto Network a pu en mesurer les résultats (le site rencontre actuellement de grosses difficultés), puisque 39 applications sont ainsi passées à la moulinette d’un compilateur malveillant, injectant un cheval de Troie au passage.
Apple a fait le ménage
Présentées pour validation à l’App Store, ces applications se sont bien retrouvées pendant quelques jours sur la boutique d’application. Apple a officiellement reconnu le problème dans une réponse donnée à Reuters, via la porte-parole Christine Monaghan : « Nous avons supprimé les applications de l’App Store dont nous savons qu’elles ont été développées avec le logiciel contrefait. Nous travaillons avec les développeurs pour nous assurer qu’ils utilisent la version normale de Xcode afin qu’ils revoient leurs applications ».
Parmi ces applications, on retrouve le client de messagerie WeChat, dont l’éditeur a réagi pour indiquer que la version sortie il y a deux jours était débarrassée du problème. Le scanner de cartes CamCard était également touché par le souci, mais a depuis rectifié le tir. Pour les autres, elles ont de toute façon été supprimées de l’App Store. Elles avaient toutes le potentiel de voler des informations tels que l’identifiant du téléphone et certaines informations plus générales, pour les envoyer vers un serveur. Selon Palo Alto Network cependant, il semble qu’il n’y ait pas eu de transmissions.
La société estime que ce type de menace est particulièrement sérieux. Concernant le téléchargement initial du Xcode frelaté, elle avance l’hypothèse que des développeurs ont cherché à récupérer plus rapidement l’environnement, sans passer par des serveurs d’Apple peut-être jugés trop lents. On imagine que l’aventure leur aura ôté le goût des chemins alternatifs.
