AccueilÉDITO

Des hackers infectent l'App Store pour la première fois

Publié le

par Thibault Prévost

Une cinquantaine d'applications de l'App Store d'Apple ont été infectées par un logiciel permettant de récupérer les données privées des utilisateurs.

Image tirée du jeu <em>Watch Dogs</em> d'Ubisoft

La supposée inviolabilité des applications iPhone aura fait long feu. Dimanche, la firme à la pomme a annoncé à Reuters le retrait d'une cinquantaine d'applications, majoritairement chinoises, présentes sur sa plateforme de téléchargement, l'App Store, après la découverte de leur piratage.

Détecté pour la première fois sur Weibo, le réseau social chinois aux 198 millions d'utilisateurs, le logiciel malveillant, appelé XCodeGhost, utilise la fonction de copie de fichiers du téléphone pour récolter les données privées de son utilisateur (ça s'appelle le phishing et oui, ça concerne aussi les mots de passe).

Pour contourner les protocoles de sécurité mis en place par Apple sur son App Store, qui justifiaient sa réputation de sécurité – et de censure, Apple vérifiant manuellement chaque application et son contenu avant de la proposer au téléchargement –, l'équipe de hackers non identifiés a dû échafauder un plan ingénieux. Le logiciel malveillant XCodeGhost tire son nom d'XCode, l'interface de programmation (API) fournie par Apple aux développeurs souhaitant proposer leur application sur l'App Store. Un logiciel lourd de 3 Go, relativement pataud à télécharger depuis le site d'Apple.

D'autres sites, majoritairement chinois, proposent donc des versions non-officielles d'XCode, plus rapides à obtenir car mieux hébergées mais similaires en tout point... ou presque. Car l'une de ces versions (si vous êtes développeur, sachez que ça concerne de la 6.1 à la 6.4), altérée par les hackers et mise à disposition sur le moteur de recherche chinois Baidu, contenait un logiciel espion.

Avant même de commencer à créer leur application, les développeurs étaient donc déjà infectés à leur insu. Un peu comme si, plutôt que de cambrioler une maison en forçant la serrure, une équipe de cambrioleurs trafiquait le béton fourni lors de la construction des murs pour pouvoir les traverser à l'envi.

Un demi-milliard d'utilisateurs concernés

Pour le moment, Apple semble être en train de nettoyer son App Store, sans pour autant préciser le nombre d'applications concernées (ce qui, en soi, n'est pas hyper rassurant). Un nombre qui pourrait par ailleurs être difficile à évaluer et prendre une ampleur plus ou moins importante selon les applications touchées.

Pour le moment, la liste des applications supprimées de l'App Store inclut Weibo mais aussi WeChat et ses 549 millions d'utilisateurs, Didi Chuxing, le concurrent chinois d'Uber qui vient de s'associer à Lyft, ou Camcard, un lecteur de carte professionnelle aussi populaire en Asie qu'en Europe et aux Etats-Unis.

Selon Christine Monaghan, porte-parole d'Apple interrogée par le New York Times, la firme de Cupertino "a retiré de l'App Store toutes les applications développées avec ce logiciel contrefait". Même refrain chez WeChat, qui a indiqué dans un communiqué qu'"il n'y a eu aucun vol ou aucune fuite de données ou d'argent d'utilisateurs".

Moins de deux mois après le piratage d'Ashley Madison, il est cependant difficile de croire en la bonne foi des entreprises concernées par cette faille. En attendant une hypothétique confirmation officielle, consultez la liste des applications concernées par la faille et mettez à jour celles que vous possédez sur votre appareil... si la mise à jour a pris en compte le problème. Dans le cas contraire, virez-moi cette saloperie immédiatement. Pensez aussi à changer votre mot de passe iOS, on n'est jamais trop prudent.

La découverte de cette faille, la première de cette ampleur sur iOS (bien que techniquement, le système iOS n'a pas été infecté en lui-même) illustre bien la pression de plus en plus importante à laquelle est soumise Apple, qui règne en maître sur le marché des smartphones occidentaux. Selon le rapport annuel de Symantec, cité par le Nouvel Obs, 84% des vulnérabilités découvertes le sont désormais sur iPhone, contre seulement 11% pour Android. Dans ces conditions, il est donc à parier que d'autres failles finiront par être révélées, peu importe la sagacité des experts en sécurité d'Apple.

À voir aussi sur konbini :