XcodeGhost a profité d'un internet chinois trop lent

Florian Innocente |

« Ignorance et complaisance » c'est par ces deux termes que le PDG d'un éditeur chinois d'apps explique pourquoi des versions d'Xcode trafiquées avec un malware se sont retrouvées entre les mains de développeurs du pays.

« Ignorance de la part d'Apple » explique Andy Tian à Reuters et « complaisance » chez ses homologues où les développeurs ont téléchargé des versions d'Xcode sur des sites situés en dehors du giron d'Apple. Et pour cause, cela revient à prendre l'autoroute au lieu d'un chemin de traverse. C'est la banale et principale explication avancée. Elle figure d'ailleurs dans une FAQ d'Apple sur cette affaire "d'XcodeGhost", publiée à l'entrée de son site en Chine.

La home page du site Apple chinois renvoie vers une FAQ sur XcodeGhost

D'un côté, il y a Xcode qui pèse pas moins de 3,6 Go. De l'autre, des infrastructures réseau faiblardes, alourdies par le filtrage exercé par le gouvernement, qui rendent ces téléchargement plus fastidieux que partout ailleurs. Selon les mesures d'Akamai (qui assiste des entreprises dans leur distribution de logiciels sur le Net), la vitesse moyenne de connexion en Chine (3,4 Mbps) est trois fois inférieure à celle des États-Unis (la France est entre les deux). Et cela ne va pas en augmentant pour les utilisateurs chinois.

Dès lors, pour couper au plus court, ces développeurs téléchargent leurs outils sur des sites à l'intérieur du pays, puis les partagent parfois sur des supports physiques avec leurs collègues. Si ce n'est qu'il y a le risque de récupérer des logiciels préalablement bidouillés par des malandrins. C'est précisément ce qui s'est passé pour Xcode qui injectait, à l'insu de son utilisateur, un malware dans les logiciels iOS qu'il aidait à fabriquer.

Dave Aitel, directeur de la société de sécurité Immunity, a rebondi sur cette affaire pour raconter son expérience du téléchargement derrière le "Grand Firewall" de Chine :

Nous étions dans le bureau de notre principal revendeur et on ne pouvait pas télécharger les vidéos de présentation de notre logiciel Canvas à plus de 1 ko/s. Notre politique, lorsque nous allons en Chine, est de mettre sur une clef USB toutes les vidéos et fichiers commerciaux dont nous pourrions avoir besoin. Car même récupérer un fichier PDF sur notre site peut être incroyablement lent.

Il cite aussi l'exemple d'un autre de ses logiciels qui avait besoin du player (gratuit) de VMware pour fonctionner. Plutôt que de perdre un temps fou à le télécharger sur le site de VMware, son interlocuteur - dans une très grande entreprise chinoise — est allé sur un site local et a récupéré rapidement un ancien VMware complet et piraté.

En jaune les USA, puis la France en vert et en bleu la vitesse moyenne de connexion en Chine — Akamai T2 2015 — Cliquer pour agrandir

S'agissant d'XcodeGhost, il fallait aussi que les développeurs imprudents désactivent l'option dans Sécurité et confidentialité qui évite l'installation de logiciels non signés par l'éditeur original. Ainsi, il y a eu toute une démarche visant à s'affranchir de règles de sécurité élémentaires pour s'épargner des téléchargements interminables.

Cette pratique n'est pas seulement en vigueur chez des éditeurs indépendants disposant d'une connexion internet poussive. Des éditeurs de premier plan, à la tête d'apps iOS énormément populaires, ont utilisé ces Xcode contrefaits.

Hier, Phil Schiller a assuré que les développeurs chinois pourraient à terme obtenir les outils développeurs d'Apple depuis des serveurs installés en Chine : « Aux États-Unis on peut le télécharger en 25 minutes mais ça peut prendre trois fois plus longtemps en Chine ».

D'après le dernier décompte effectué par FireEye, ce sont environ 4 000 apps compilées avec ces Xcode non légitimes qui se sont retrouvées sur l'App Store lestées d'un cheval de Troie. Apple s'en tient à son chiffre de 25 apps touchées — dont elle va bientôt publier la liste — mais tout dépend de la manière de compter.

FireEye semble faire un décompte plus exhaustif. Apple de son côté parle des 25 apps les plus populaire en termes de nombre d'utilisateurs. D'autres que celles-ci sont concernées, cependant leur audience n'atteint pas les mêmes proportions « Après les 25 principales apps concernées, le nombre d'utilisateurs touchés baisse de manière significative », explique la FAQ.

[MàJ] : la liste promise.

Cliquer pour agrandir
avatar oupsman | 

Un début de liste d'applications infectées ici :

http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-in...

Pour les filtrer aux frontières (enfin sur mon firewall chez moi), j'ai cherché les serveurs de Command and Control du bot et j'ai trouvé trois noms de domaine, mais à priori, ces noms de domaine n'existent plus ... Je continue à chercher.

Bon OK :

http://researchcenter.paloaltonetworks.com/2015/09/more-details-on-the-x...

"Amazon has also taken action, including to shutdown all C2 servers on Amazon Web Services that XcodeGhost was seen to have used to upload privacy information and dispatch controlling commands."

avatar bbtom007 | 

Les malandrins qui sont des bidouilleurs ! Il y a pas a dire c'est les champions du canulars !

avatar Lemmings | 

Tiens, mais qu'est-ce que j'avançais comme hypothèse dès le premier article ?

https://www.macg.co/logiciels/2015/09/xcodeghost-la-menace-fantome-dans-...

Pour avoir été en chine cet été, je peux comprendre vouloir aller un peu plus vite... C'est fou comment tout est bloqué ou lent là bas...

avatar r e m y | 

il me semble que sur ce coup j'étais légèrement en avance sur toi.... relis le premier commentaire de l'article.

avatar Lemmings | 

J'ai pas dis que j'étais le seul ou le premier ;) On a senti que c'était l'explication la plus plausible.

avatar Lemmings | 

Ha oui, je relance l'autre question que j'avais... Pourquoi Apple ne fait-elle pas de mises à jour incrémentales sur ses propres logiciels... En 2015, il serait un peu temps...

avatar C1rc3@0rc | 

+1
OS X (et iOS par conséquent) sont des logiciels modulaires par definition, il n'y a aucune raison qu'il faille mettre jours l'integralité des modules. Il y a meme des modules qui n'ont pas a changer pendant plusieurs annees: on est sur de l'Unix!

Pareil pour les applications, elle doivent etre conçues de maniere modulaires et seuls certains modules necessitent d'etre modifiés.

Et cela ne date pas de 2015, cette architecture modulaire date de la creation d'Unix, donc les annees 70!

Et pourquoi Apple ne favorise pas la mise en cache local des mise a jour?

Tout ça c'est le probleme de la cloudisation. C'est intéressant pour les éditeurs de pouvoir mettre en captivité l'utilisateur en l'obligeant a se connecter en permanence et passer par le réseau a chaque fois, mais cela a un cout autant énergétique, qu'en temps, en securité et qu'en fonctionnalité!

Rappelons qu'il y a encore quelques années, les logiciels s'installaient a partir de DVD, et que les developpeurs recevaient leurs softs par la poste, et que la situation de l'internet de cette epoque est toujours la réalité dans nombre de pays!

avatar Hideyasu | 

« Aux États-Unis on peut le télécharger en 25 minutes mais ça peut prendre trois fois plus longtemps en Chine ».

Tout ça pour gagner 1h de temps de téléchargement ? Ça choque que moi autant d'incompétence ?

avatar Un Type Vrai | 

Sauf que depuis que je n'ai plus d'ethernet sur mon ordinateur portable, je ne fais plus les MAJ Apple.

25 min, c'est "possible", 1h je n'ai JAMAIS 1h à consacrer au téléchargement...

Le téléchargement échoue souvent (j'imagine Wifi + mise en veille + Mac OS X = merdouille) et il reprend depuis le début, au lieu de continuer... un enfer !!!

Bref, je ne suis pas en Chine, donc si c'est pire là bas et si c'est un outil pour travailler, je comprends qu'on bidouille (même si de mon côté, je me refuse de le faire).

avatar C1rc3@0rc | 

Les gens ne prennent pas assez en considération que le Wifi (comme tous les reseaux hertzien) ne peut pas assurer un debit et une performance stable. Donc avec le tout Wifi les flux de données peuvent s'alourdir considérablement du fait qu'il faut renvoyer les paquets qui se perdent en route, on a donc un ralentissement et une dépense énergétique supérieure.

Il faut aussi prendre en compte que le WIFI c'est dans les frequences de micro-ondes, donc c'est tres sensible aux interferences (obstables physique - un corps humain, un meuble, de la vapeur d'eau,... et autres emissions sur des frequences proches). Bref ça marche, mais ça marche moins bien qu'un reseau filaire dedié.

Apple a eu l'idée stupide de supprimer le port ethernet de toute ses machines portables. On peut néanmoins utiliser des adaptateurs Thunderbolt - ethernet ou USB-Ethernet.

Apple a aussi la très mauvaise idée de rendre moins facile le déploiement de mise a jours a moins d'avoir OS X server. Il y a la une grosse faille avec les App Store car si l'on considère une famille, et bien on est poussé a charger autant de fois qu'il y a d'appareils les soft...
Avec Yosemite les choses ont même empirées puisque le clonage d'une d'une machine devient rédhibitoire.

Ensuite, lorsque l'on fait une mise a jour il faut la faire en deux phase: téléchargement et sauvegarde du logiciel puis installation. Et pendant ces deux phases il faut que la machine soit relié au secteur et que la mise en veille soit désactivée.
Pour iOS c'est encore plus vrai et l’idéal c'est de passer par iTunes sur son Mac pour les mise a jour, surtout si on a plusieurs machines iOS, comme ça on telecharge une seule fois l'OS...

Il faut aussi comprendre que tres peu de pays offrent un internet illimité, et qu'en amerique, les abonnements sont limités en data: donc 4Go a telecharger ça prend sur l'abonnement!

avatar Un Type Vrai | 

Mon portable de travail à un port ethernet et j'ai râlé 1000 fois ici sur cette suppression débile sur une machien s'appelant "Pro".
En fait, même mon NAS maison est moins accessible.

Plutôt qu'un adaptateur, je vais plutôt m'achter un hub, mais j'en conclu que le MBP est la moitié de son ancêtre...

Quand à l'écran, j'ai pas eu l'effet whaouhou attendu... Il est "plus beau" mais c'est pas transcendant.

avatar Hideyasu | 

Quand ils disaient que l'Internet était plus lent je m'attendais plusieurs jours pour justifier de prendre Xcode ailleurs, mais même pas ...

avatar Lemmings | 

Vas en chine, on en reparle...

avatar iPop | 

J'ai fait la mise à jour de iOS 9 : 7 heure d'attente.
Ça ne me gêne pas, je m'y attendais. Je fais la mise à jour de nuit tranquille ...et je suis en France.

avatar Gueven | 

Avoir un réseau lent ne devrait pas excuser cette énorme incompétence.
Certaines personnes devraient perdre leur poste, et je doute que ça soit des développeurs de haut niveau.

avatar BeePotato | 

« S'agissant d'XcodeGhost, il fallait aussi que les développeurs imprudents désactivent l'option dans Sécurité et confidentialité qui évite l'installation de logiciels non signés par l'éditeur original. Ainsi, il y a eu toute une démarche visant à s'affranchir de règles de sécurité élémentaires pour s'épargner des téléchargements interminables. »

Là, il ne s’agit même plus de règles de sécurité élémentaires.
En effet, en voyant que cette version de Xcode n’était pas signée par Apple (d’où la nécessité de signifier explicitement à GateKeeper qu’il fallait l’ouvrir tout de même), ces développeurs savaient donc parfaitement qu’il s’agissait d’une version modifiée.

L’avoir utilisée malgré tout, c’est du foutage de gueule, un manque total de respect envers les utilisateurs de leurs applications.

avatar C1rc3@0rc | 

@BeePotato
+1

Il y a ce que l'on veut que les gens pensent, ce qu'il faut absolument éviter que la population sache et donc ce que l'on veut bien dire...

Le coup de l'internet trop lent, c'est une belle histoire en effet -vraie en partie- et ça arrange pas mal de monde.

Mais il faut considérer que dans les usines de codeurs et entreprises de plus de 10 employés, l’installation des softs se fait en interne (déploiement), par l'administrateur, et le téléchargement des soft originaux se fait donc 1 seule fois en externe...

Ce n'est donc pas chaque développeur sur son poste qui va telecharger les soft depuis le réseau externe...
Affirmer le contraire reviendrait a affirmer que le reseau chinois (ou indien, ou malaisien, ou...) est ultra rapide et performant!

avatar Merck | 

La liste est disponible sur le site chinois d'Apple!

avatar Adrienhb | 

Jamais entendu parlé de ces apps, sans d'outre propre au marché chinois.
Vous n'aviez pas mentionné Angry birds 2?

avatar Domsware | 

Sacrifier sa propre sécurité et celle des utilisateurs pour gagner quelques minutes de chargement...
C'est stupide et non professionnel.

La mise à jour des outils de production est une phase délicate qui se planifie un minimum.

avatar C1rc3@0rc | 

«La mise à jour des outils de production est une phase délicate qui se planifie un minimum.»

+1
Mais il faut aussi regarder la responsabilité d'Apple.
Apple cultive le secret et a des secrets industriels qui ne transpirent pas. Cela est renforcé par l'ampleur de l'entreprise et de sa croissance: d'ici noël Apple devrait écouler plus de 100 millions d'iPhone 6,... c'est pas aussi facile a sécuriser que 3.5 millions de machines.

Je vais prendre 2 exemples.
Le premier c'est le passage au PowerPC.
Le travail a ete fait avec IBM et Motorola.
plus de 2 ans avant l'annonce des machines les premiers développeurs tiers ont eu acces au systeme de développement sur des prototypes pour tester en conditions réelles leurs soft. Puis le secret a ete divulgué aux développeurs référencés Apple a peu prés un an avant la disponibilité du matériel a la vente, les dev pouvant s’équiper avant cette date.

Le second c'est l'Apple Watch. Apple a mis un énorme secret sur tout ce qui est technique, au point que les développeurs ont decouvert la tocante lors de sa mise officielle sur le marché et ont du se contenter d'un simulateur logiciel quelques temps avant l'annonce du matériel. Et encore l'OS était loin d’être finalisé.
Il est probable que les bureaux de marketing et les annonceurs aient été informés mieux et plus tôt que les développeurs.
La conséquence c'est que lorsque l'Apple watch a été officiellement mis en vente, les developpeurs ont du se jeter dessus pour tester reellement leurs applications...
Et la pression qu'ils ont eu a été très forte vu les sommes extraordinaires qu'Apple a investit en marketing sur ce produit. Pour un dev iOS c'etait donc incontournable.

En conséquence, il y a une pression aujourd'hui pour le développeur de produire toujours plus vite malgré des moyens et des informations toujours plus limités. Et les éditeurs sous-traitent de plus en plus en Chine, ce qui empire la situation.

avatar Domsware | 

Aucun pression ne justifie de prendre de tels risques : il est question de quelques minutes voir d'une poignée d'heures pour obtenir l'outil de développement qui est la pièce centrale du dispositif.

Ensuite une fois l'application soumise la date de sortie dépend de la validation d'Apple dont la durée est une inconnue.

La responsabilité est entièrement du côté des développeurs.

avatar daxr1der | 

@Domsware :
Et non les responsables c'est bien Apple

De plus, Apple dit avoir fait en sorte que le téléchargement de Xcode (version officielle) soit plus rapide en installant des serveurs sur le sol chinois – permettant aux développeurs d’y accéder plus facilement.

avatar clarilox | 

Merde Hymalaya FM est touché, qu'est-ce que je vais pouvoir écouter maintenant ?!!

avatar oupsman | 

Après réflexions, cette histoire sent plus la proof of concept qu'autre chose.

Si les développeurs de ce malware avaient voulus faire plus de mal, ils y seraient arrivés sans problèmes.

Les prochains mois risquent d'être très drôles ...

Pages

CONNEXION UTILISATEUR