Apple a annoncé dimanche soir qu’elle retirerait une série d’applications de l’App Store en réaction aux allégations de firmes spécialisées en cybersécurité concernant un maliciel, dénommé XcodeGhost, qui exploiterait des centaines de millions d’iPhone et d’iPad dans le cadre d’un réseau botnet voué à dérober des renseignements confidentiels.

Les pirates responsables de cette brèche auraient réussi à convaincre des développeurs d’applications inoffensives d’utiliser une version contrefaite de Xcode.

Selon l’entreprise, les pirates responsables de cette brèche ont réussi à convaincre des développeurs d’applications inoffensives d’utiliser une version contrefaite de Xcode, la trousse de développement d’application iOS et OS X. En compilant leurs logiciels, cette version altérée de Xcode aurait ainsi introduit le code malveillant à l’insu des développeurs.

«Nous avons supprimé de l’App Store les applications dont nous savons qu’elles ont été créées avec ce logiciel contrefait», a déclaré Christine Monaghan, porte-parole d’Apple. «Nous travaillons avec les développeurs pour qu’ils soient certains d’utiliser la bonne version de Xcode pour recréer leurs applications.»

Parmi les applications affectées les plus populaires, on retrouve notamment la version 6.2.5 de WeChat, CamScanner, et Angry Birds 2.¹ Selon le blogue Ars Technica, le total des applications affectées s’élèverait à 39, tandis que la firme Qihoo360 Technology en aurait compté au moins 344. Pour sa part, Apple est restée muette quant au nombre d’applications qui aurait été victime de cette infestation.

Soulignons qu’avant cette brèche de sécurité, seulement 5 maliciels avaient réussi à s’introduire dans l’App Store aux dires d’un spécialiste de la firme Palo Alto Networks.

En résumé

Mon iPhone ou iPad est-il affecté? Au moment d’écrire ces lignes, il est malheureusement impossible de répondre à cette question. Toutefois, il est important de souligner que les développeurs localisés en Chine ont été la principale cible de XcodeGhost (tel qu’expliqué dans le paragraphe suivant).

Pourquoi ces développeurs n’ont pas simplement téléchargé Xcode à partir du site d’Apple? Parce que le fichier d’installation est d’une taille colossale, et représente un téléchargement de près de 3,6 Go. En particulier en Chine, il est plus rapide (voire plus simple) de télécharger celui-ci à partir du réseau BitTorrent que des serveurs d’Apple.

Quels sont les risques? Une autre question à laquelle il ne semble pas y avoir de réponse claire. Si Ryan Olson de Palo Alto Networks a déclaré que le maliciel mis en cause avait une capacité de nuisance limitée, et qu’aucun cas de vol de données ou de dommages importants n’avait été observé pour le moment, cela ne signifie pas pour autant que la situation n’est pas inquiétante.

Le fonctionnement de l’App Store est-il en cause? Hélas, il n’existe aucun système parfait. Bien qu’Apple est parvenu à maintenir l’intégralité des applications de l’App Store jusqu’à tout récemment, des pirates chercheront toujours une faille dans ce système. Il ne faut pas croire non plus que Google est immunisé de ce genre de stratagème, puisque rien n’empêche que la même tactique soit employée auprès des développeurs d’applications Android.

La suite des événements

En ce qui concerne WeChat, le développeur de l’application a déployé une mise à jour (la version 6.2.6) vendredi dernier qui élimine toute trace de XcodeGhost. Au fur et à mesure qu’elles seront identifiées par Apple, les applications affectées disparaîtront de l’App Store en attendant que les développeurs compilent de nouvelles mises à jour – un procédé qui aura pour bénéfice de contenir la propagation du maliciel.

En 2008, plusieurs médias ont rapporté qu’Apple avait la capacité de supprimer à distance toute application jugée inacceptable selon l’entreprise. On ignore cependant si cette fonction fait toujours partie d’iOS 8 ou 9, et si Apple a l’intention de l’utiliser afin de réduire au strict minimum l’impact de XcodeGhost.

Outre l’incontournable ménage de l’App Store, Apple n’a toujours pas précisé si elle avait l’intention d’explorer d’autres stratégies.

MAJ : Une portion des applications concernées

Voici la liste de 31 applications qui seraient affectées par XcodeGhost. À noter que le cas d’Angry Birds 2 est contesté (voir la note en bas de l’article à ce sujet), et qu’une mise à jour de WeChat éliminant la faille a récemment été déployée :

• Angry Birds 2
• CamCard
• CamScanner
• Card Safe
• China Unicom Mobile Office
• CITIC Bank Move Card Space
• Didi Chuxing (développé par China Didi Kuaidi, le principal concurrent d’Uber en Chine)
• Eyes Wide
• Flush
• Freedom Battle
• High German Map
• Himalayan
• Hot Stock Market
• I Called MT
• I Called MT 2
• IFlyTek Input
• Jane Book
• Lazy Weekend
• Lifesmart
• Mara Mara
• Marital Bed
• Medicine to Force
• Micro Channel
• Microblogging Camera
• NetEase
• OPlayer
• Pocket Billing
• Poor Tour
• Quick Asked the Doctor
• Railway 12306 (l’application officiel pour l’achat de billets de train en Chine)
• SegmentFault
• Stocks Open Class
• Telephone Attribution Assistant
• The Driver Drops
• The Kitchen
• Three New Board
• Watercress Reading
• WeChat

1. À noter que dans le cas d’Angry Bird 2, seule l’application qui se trouve dans l’App Store chinois est concernée, puisque son développement à été réalisé par l’entreprise responsable de sa traduction. Une mise à jour destinée à ce marché est actuellement en développement.