XcodeGhost : la contamination était plus grande que prévue, Apple répond aux développeurs

Plus vite, toujours plus vite 32
En bref
image dediée
Crédits : nevarpp/iStock/Thinkstock
Sécurité
Vincent Hermann

Après les soucis de sécurité engendrés par l’utilisation d’une version frelatée de Xcode, Apple a décidé de communiquer de manière proactive sur l’importance des serveurs authentiques de la firme. L’objectif est bien sûr d’éviter que des compilateurs vérolés ne génèrent des applications mobiles contenant des malwares.

La semaine dernière, Apple faisait face à un danger d’un nouveau type, autant d’ailleurs que les utilisateurs chinois de la plateforme iOS. Des développeurs avaient en effet récupéré l’environnement Xcode depuis des serveurs tiers et non affiliés à Apple. Cette version contenant un compilateur malveillant capable d’introduire un cheval de Troie, nommé XcodeGhost, lors de la compilation du fichier binaire de l’application. Cette dernière, une fois envoyée pour être validée à l’App Store, était détectée comme authentique.

Une infection qui avait commencé au printemps

La situation est déjà rentrée dans l’ordre, mais des éléments récents montrent que l’épidémie était en fait plus large que prévue. Plusieurs sociétés sont depuis entrées dans la danse avec leurs propres informations. Ainsi, des 39 applications dont parlait initialement Palo Alto Network, on passe à 476 chez Appthority, et même à plus de 4 000 chez FireEye. Le ménage réalisé serait donc beaucoup plus important que ce qui avait été annoncé, et l’infection aurait même débuté au printemps.

Les dégâts semblent cependant très limités. XcodeGhost n’avait en effet pas une grande capacité de nuisance. Les informations potentiellement volées incluaient le numéro de téléphone, l’identifiant unique de l’appareil et quelques données assez générales comme la langue et le pays. Pas d'autres données personnelles, messages, contacts, emails, photos, vidéos, identifiants et autres donc.

Apple installera des serveurs de téléchargement en Chine

En fait, la question centrale est de savoir pourquoi les développeurs se sont initialement tournés vers cette version de Xcode. Il s’agit visiblement d’une question de performances. Les développeurs interrogés par Reuters pointent en effet un manque crucial de support en Chine de la part d’Apple, alors même qu’il s’agit de son deuxième plus gros marché après les États-Unis.

Il n’est donc pas étonnant de voir que Phil Schiller, le directeur du marketing, a confirmé l’arrivée de téléchargements locaux en Chine au site chinois Sina.com. Des serveurs seront ainsi mis en place et configurés pour que les développeurs disposent de meilleures vitesses. Actuellement, les développeurs chinois n’ont en effet pas le choix : ils doivent se connecter aux serveurs américains. On comprend mieux dès lors que quelques dizaines d’entre eux aient succombé aux sirènes de sites qui promettaient des téléchargements rapides.

Les développeurs invités à se tourner vers les sources authentiques

Parallèlement, Apple tâche de mieux communiquer autour de ce problème particulièrement. Une page spécifique est apparue sur le site consacré aux développeurs, et des emails leur ont également été envoyés. Le message global est simple : « Nous avons récemment retiré de l’App Store des applications qui avaient été compilées avec une version contrefaite de Xcode, qui avait le potentiel de nuire aux utilisateurs. Vous devriez toujours télécharger Xcode depuis le Mac App Store, ou depuis le site Apple Developer, et laisser GateKeeper actif sur tous vos systèmes pour vous protéger des logiciels trafiqués ».

Signalons que GateKeeper n’est pas à proprement parler un antivirus. Il est chargé de vérifier la signature d’un logiciel que l’on exécute pour la première fois. Par défaut, il n’autorise l’exécution que des logiciels installés depuis le Mac App Store et ceux disposant d’une signature authentique et reconnue. Les produits récupérés depuis les sites officiels et dont les éditeurs ont eu les moyens d’acheter un certificat reconnu n’ont donc pas de problèmes. Dans le cas présent, la vérification de signature aurait donc dû informer le développeur que cette version Xcode n’était pas authentique. Apple donne d’ailleurs certaines lignes de commande pour lancer une vérification manuelle de Xcode si cela n’a pas déjà été fait.

On comprend en tout cas la double inquiétude des utilisateurs et d’Apple. Il ne suffit parfois que d’un rien pour mener à une situation de ce genre, les problèmes de sécurité étant le plus souvent imputables à une maladresse humaine ou à un manque de sérieux. Cisco a par exemple communiqué récemment sur un souci de malware infectant certains modèles de routeurs, une contamination rendue uniquement possible par un « oubli » : remplacer les identifiants par défaut par de nouveaux, personnalisés et construits selon des règles strictes.


chargement
Chargement des commentaires...