C’est dans un rapport fourni par EVA Information Security que l’on apprend que près de 3 millions d’applications sur iOS et macOS auraient été vulnérables pendant 10 ans à une faille de sécurité majeure. La faute reviendrait à l’hébergeur de code open-source CocoaPods.
Un projet Open Source
De nombreuses applications proposent des fonctionnalités similaires qui fonctionnent sans surprises avec un code similaire. Ainsi, bon nombre de développeurs font appels à des bibliothèques de code open-source pour récupérer ces fonctionnalités de base ou bien des fonctionnalités avancées en dehors de leurs compétences. C’est là qu’intervient Cocoapods.
Ce service, lancé en 2011, permet de retrouver des « pods », des bibliothèques, où se fournir en code. Lorsque ces dernières se mettent à jour, les applications utilisant leur code se mettent elles-mêmes automatiques à jour. Les failles pointées par EVA Information Security dateraient de 2014 et entre autres d’une mauvaise migration de serveur.
Une faille en cascade
Les failles sur le projet sont multiples. Le rapport nous indique que cette migration de serveur incomplète en 2014 aurait laissé sans propriétaires des milliers de bibliothèques de code utilisés. La propriété de ces derniers aurait pu être facilement récupérée et en injectant des malwares en son sein, se répercuter en chaîne et automatiquement sur des milliers d’applications. À cela se rajoutait également un problème d’authentification et de vérification d’e-mail non sécurisé permettant à des personnes malintentionnées de rediriger l’URL vers de mauvais serveurs.
Ces failles auraient pu permettre à des personnes d’accéder à de nombreuses données utilisateurs comme les détails de votre carte de crédit ou encore vos dossiers médicaux. Libres à eux ensuite d’imaginer des utilisations comme la fraude, le chantage ou encore l’espionnage industriel. Les entreprises utilisant ces morceaux de code s’exposant derrière à de nombreuses répercutions juridiques.
L’entreprise se veut rassurante et indique après avoir échangé en privé avec Cocoapods que ces failles ont été corrigées en octobre dernier. Toutefois, EVA conseille aux développeurs de vérifier le code de leurs bibliothèques externes.
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix