Passer au contenu

3 millions d’apps iOS et macOS étaient vulnérables pendant près de 10 ans

Des failles de sécurité critiques ont été découvertes au sein d’un outil open source impliqué dans la création de millions d’apps iOS et macOS. Ces vulnérabilités, restées inconnues pendant près de dix ans, permettent de voler des données sensibles, comme des numéros de cartes de crédit.

Les chercheurs d’EVA Information Security ont découvert des failles de sécurité affectant trois millions d’applications iOS et macOS. Comme le rapporte Ars Technica, les vulnérabilités se situent au sein de CocoaPods, un outil open source qui permet de gérer les bibliothèques externes lors du développement d’une application pour iPhone ou Mac. Très populaire auprès des développeurs, il facilite l’intégration et la mise à jour de composants tiers dans les applications. CocoaPods compte « environ 100 000 bibliothèques utilisées dans plus de 3 millions d’applications »

À lire aussi : Les derniers processeurs Intel sont vulnérables face à un nouveau genre de cyberattaque

Des données sensibles mises en danger

En exploitant les brèches, il est possible d’orchestrer une attaque dite de la chaîne d’approvisionnement. Ce type d’attaque consiste à compromettre un système en infiltrant des logiciels, du matériel ou des services fournis par des tiers. Plutôt que de s’attaquer directement à la cible principale, les pirates exploitent les vulnérabilités de ses fournisseurs ou partenaires. C’est ce qu’il s’est passé lors du hack de MOVEit l’année dernière. En l’occurrence, les hackers ne s’attaquent pas aux applications, mais plutôt à CocoaPods.

Selon les chercheurs, la principale défaillance se situe dans le mécanisme de vérification des e-mails, qui sert à authentifier les développeurs de bibliothèques externes. Ce système est conçu pour envoyer un lien de vérification à l’adresse électronique fournie par un développeur. Malheureusement, la vulnérabilité a laissé la possibilité à un attaquant de manipuler l’URL du lien de vérification pour rediriger le développeur vers un serveur malveillant, sous son contrôle. L’attaquant berne alors sa cible pour obtenir un accès à la bibliothèque. Il peut y glisser du code malveillant pour mener des cyberattaques à grande échelle. Au total, trois failles distinctes ont été découvertes. Les deux autres brèches aboutissaient également à l’injection de code.

« Les attaquants qui infiltrent les serveurs ou les comptes de développeurs de ces outils pourraient pousser des mises à jour malveillantes qui se répandent largement », résume EVA Information Security.

Au terme de l’offensive, l’attaquant peut mettre la main sur des données sensibles issues de l’application, comme des numéros de carte de crédit, des informations médicales ou d’autres données personnelles. Ces informations sont précieuses pour un cybercriminel. Elles permettent de mener d’autres cyberattaques, de dépouiller un compte en banque, de déployer un ransomware ou encore d’usurper l’identité des internautes.

Dix ans de vulnérabilité

D’après les chercheurs, les failles de sécurité sont restées béantes pendant près de dix ans. La vulnérabilité est apparue en 2014 lors d’un « processus de migration ». Durant une décennie, des pirates pouvaient impunément ajouter du code malveillant aux applications, mettant en danger des millions, voire des milliards d’utilisateurs de produits Apple.

La vulnérabilité a été découverte en octobre dernier. Alerté par les chercheurs d’EVA Information Security, CocoaPods a promptement pris des mesures pour corriger le tir. Dans un billet de blog, les responsables indiquent avoir pris soin de « corriger ces problèmes au fur et à mesure qu’ils se posent ». Ils ont notamment « effacé toutes les clés de session pour s’assurer que personne ne pouvait accéder aux comptes sans avoir d’abord le contrôle de l’adresse e-mail enregistrée ».

Rien n’indique que les failles ont été exploitées par des hackers. Cependant, « ce n’est pas parce que cela n’a pas été prouvé que cela ne s’est pas produit », concède Orta Therox, responsable de CocoaPods. Abondant dans le même sens, les chercheurs d’EVA Information Security ajoutent que « la preuve de l’absence n’est pas l’absence de preuve ».

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : EVA Information Security


Florian Bayard