XcodeGhost S : la menace fantôme de retour

Mickaël Bazoge |

Apple n’en a pas terminé avec XcodeGhost. Cette version vérolée de Xcode, les outils de développement d’applications officiels d’Apple, a circulé pendant quelques mois en Chine, où les infrastructures de téléchargement du constructeur pour ce type de fichiers sont notoirement sous-dimensionnées : les éditeurs ont préféré récupérer leur copie de Xcode par leurs propres moyens, en dehors du site d’Apple. Avec tous les risques que cela comporte pour la sécurité de leurs applications (lire : XcodeGhost a profité d'un internet chinois trop lent).

Après avoir nettoyé l’App Store des applications infectées, la Pomme a annoncé la mise en place de serveurs capables de prendre en charge les besoins des développeurs chinois (lire : Apple fait de la pédagogie auprès des développeurs après XcodeGhost). Néanmoins, il reste encore des traces de XcodeGhost, que le spécialiste en sécurité FireEye a repéré au sein de 210 entreprises et organisations, dont 62% d’allemandes, 33% d’américaines, et 3% de françaises. Parmi ces organismes, 66% émargent dans le secteur de l’éducation, 13% dans celui de la high-tech.

Cliquer pour agrandir

Les applications infectées ont généré plus de 28 000 tentatives de connexion aux serveurs CnC (Command and Control) de XcodeGhost. Ces appels ont plusieurs effets : ils peuvent concerner des promotions agressives d’applications (en lançant automatiquement la page de téléchargement), forcer la navigation web vers une URL, afficher des pop-up d’hameçonnage, ou encore distribuer des applications en dehors de l’App Store.

Les éditeurs des apps infectieuses (parmi lesquelles WeChat, WinZip ou SnapRoll) ont mis à jour leurs logiciels, mais les utilisateurs ne se servent pas forcément des dernières versions. Pratiquement 70% de ceux qui sont touchés par XcodeGhost utilisent des terminaux mobiles qui ne sont pas sous iOS 9 — ils gagneront à installer dès que possible la dernière mouture de l’OS d’Apple afin de gagner en sécurité.

Mais cela n’a pas empêché une nouvelle branche de XcodeGhost de prospérer. Baptisée XcodeGhost S, le cheval de Troie infecte Xcode 7, qui permet de concevoir des applications pour iOS 9. De fait, la dernière mouture de la plateforme n’est pas à l’abri de cette menace : près de 35% des utilisateurs touchés par le phénomène fonctionnent sous iOS 9, malgré les mesures prises par Apple pour endiguer XcodeGhost.

Une application au moins a été repérée, développée avec XcodeGhost S, qui a été supprimée de l’App Store lorsque FireEye a prévenu Apple de sa dangerosité ; elle était disponible aussi bien aux États-Unis qu’en Chine. La société continue de travailler avec Apple pour bloquer ces applications malicieuses.

avatar Sostène Cambrut | 

Un tel amateurisme de la part des développeurs est quand même délirant. C'est quand même leur boulot les mecs… Que les serveurs chinois soient sous-dimensionnés c'est possible, mais merde WinZip ?!

avatar Yohmi | 

@ Sostène Cambrut
Je crois que beaucoup d'applications touchées sont des commandes sous-traitées, et développées pour pas cher en Chine, en Inde… et je présume que dans ces cas précis, ce n'est pas une question de conscience professionnelle de la part des développeurs (je doute franchement qu'un développeur professionnel soit assez stupide pour récupérer un programme ailleurs que sur une source officielle ou de confiance), mais plutôt à voir du côté de la gestion de l'entreprise, qui fournit d'emblée le programme sur la station de travail de ses employés. Il faut voir comment on monte une entreprise dans certains pays, là où en France c'est un casse-tête pas possible, en Asie je vois un peu partout que ça change de propriétaire, de nom et d'activité plusieurs fois par an. Autant dire qu'avec un tel rythme, on a pas le temps de faire les choses bien, et la seule chose qui compte, c'est le rendement à court terme.

avatar Hideyasu | 

@Yohmi :
Pourtant les développeurs en Chine ont délibérément téléchargé Xcode ailleurs que sur l'app store. Donc si c'est bien de l'amateurisme.

avatar Yohmi | 

@ Hideyasu
Dans le cas de la Chine, il semblerait que ce soit la seule solution à cause de problèmes de serveurs (peut-être dû à l'excellente idée du gouvernement de bloquer à peu près tout). Par ailleurs, j'ai parlé de développeurs professionnels, tu parles d'amateurisme. Il y a beaucoup de développeurs amateurs sur l'AppStore, c'est pas une découverte. Mais ce que je mets en lumière, c'est le problème des intermédiaires.

avatar scanmb | 

Liste des applis concernées ?

avatar huexley | 

C'est sur que pour les lutins c'est plus facile d'intercepter des nibards

avatar patrick86 | 

"au sein de 210 entreprises et organisations, dont 62% d’allemandes, 33% d’américaines, et 3% de françaises."

Aaaah mais voilà l'explication des problèmes de Volkswagen. C'est qu'en fait ils font leurs calculs de conso et pollution avec des apps iOS vérolées, développées par les chinois pour couler l'industrie automobile occidentale !

avatar kriI1n | 

@patrick86 :
Fallait rire ?

avatar Moonwalker | 

Ben oui, c'est marrant.

A moins d'avoir une VW ;-)

avatar kriI1n | 

@Moonwalker :
J'ai une cox phase 2, essence donc pas touché par leur truc.

Les français sont hyper contents que VW se casse la tronche, j'attends avec impatience une révélation de cette ampleur pour Renault.

avatar Hideyasu | 

@kriI1n :
Oui d'ailleurs quand j'ai su pour VW je me suis dis que les autres constructeurs ça allait être pareil mais visiblement non (on peut facilement imaginer que toute les voitures ont été testés)

CONNEXION UTILISATEUR