Pour la première fois, l’App Store d’Apple est victime d’un piratage de grande ampleur. Des dizaines d’applis mobiles d’origine chinoise ont été infectées par le malware XCodeGhost. 01net.com fait le point.
En quoi ce malware est-il dangereux ?
D’après l’analyse de Palo Alto Networks, le principal objectif des applications mobiles infectées par XCodeGhost est de voler des mots de passe. Elles vont d’abord collecter toute une série d’informations basiques sur le terminal et son utilisateur : nom de l’appareil, type de connexion réseau, langage et pays, etc. Ces informations sont transmises de façon chiffrée aux serveurs de commande et de contrôle (C&C) et utilisées par les attaquants pour réaliser d’autres actions. Par exemple : afficher une fausse fenêtre d’authentification pour récupérer des identifiants iCloud, initier des connexions pour se connecter à des serveurs ou accéder au presse-papier. Ce dernier cas est surtout intéressant lorsque l’utilisateur utilise un gestionnaire de mots de passe et se connecte aux services par copier-coller.
Combien d’applications sont infectées et lesquelles ?
L’impact de cette attaque n’est pas très clair à l’heure actuelle, Apple ne donnant pas de détails à ce sujet. Le malware se trouve principalement dans des applications d’origine chinoise, car il s’est diffusé par l’intermédiaire de développeurs chinois.
Selon une dépêche Reuters, l’éditeur d’antivirus chinois Qihoo360 aurait dénombré 344 applications infectées, mais nous n’avons pas réussi à vérifier cette information. Pour sa part, Tescent, éditeur de WeChat (messagerie instantanée), explique sur son site avoir trouvé « 76 applications infectées parmi les 5000 applications les plus téléchargées de l’App Store », dont des applications financières. L’éditeur estime que « plus de cent millions d’utilisateurs » sont touchés par cette attaque.
L’éditeur américain Lookout, pour sa part, estime que cette attaque concerne « des centaines de millions de personnes ». Il faut dire que WeChat, à lui seul, compte plus de 600 millions d’utilisateurs actifs dans le monde. Intsig, éditeur de CamCard (scanner de cartes de visites) et CamScanner, revendique sur son site « plus de 100 millions de personnes et d’entreprises » parmi ses clients.
Palo Alto Networks a compilé une liste de 95 applications infectées, dont un tiers sont des applications uniquement destinées au marché chinois. Parmi les autres, certaines sont très connues en Europe comme WeChat et CamCard. Il y a aussi beaucoup d’utilitaires comme WinZip, Guitar Master, CamScanner Pro, etc.
Comment peut-on se protéger ?
Conscient du problème, Apple a commencé à supprimer les applications infectées de son App Store. Mais cela ne vous servira à rien si vous avez déjà installé l’une d’entre elles.
La première chose à faire est de vérifier la liste d’applications infectées mise en ligne par Palo Alto Networks. Une autre liste très similaire est disponible sur le forum de MacRumors. Si l’une de vos applications y figure, vérifiez si une version récente est disponible et installez-la (sur tous vos terminaux !). Si aucune nouvelle version n’est disponible – comme c’est le cas pour CamCard à l’heure où nous écrivons ces lignes – il faut désinstaller cette application. C’est un peu radical, mais c’est la seule solution.
Pour WeChat, Tescent a précisé que seule la version 6.2.5 est affectée. Si vous êtes concerné, installez immédiatement la dernière version. Dans tous les cas, il est recommandé de changer son mot de passe Apple/iCloud, ainsi que les identifiants relatifs à l’application infectée.
Comment ce malware se diffuse-t-il ?
L’App Store d’Apple est réputé inviolable… Apple dispose, en effet, d’une procédure assez draconienne de vérification des applications. Mais les pirates ont réussi à la contourner en s’attaquant aux développeurs d’applications iOS, ce qui est assez subtil.
Ils ont créé une version infectée de Xcode, l’outil de développement d’Apple, et l’ont diffusée au travers de différents services cloud chinois. Pour des raisons sans doute de vitesse de téléchargement – Xcode pèse plus de 3 Go – certains développeurs chinois ont préféré passer par un service tiers plutôt que par le site d’Apple. Résultat : les applications créées avec ce faux logiciel Xcode étaient automatiquement infectées.
Pour Apple, il est très difficile de détecter cela, car l’appli mobile provient de développeurs vérifiés ou d’éditeurs ayant pignon sur rue. Par ailleurs, les actions réalisées par le malware ne sont pas inhabituelles : ouvrir une fenêtre d’authentification, ouvrir une connexion, accéder au presse-papier. Une analyse de code statique ne permet pas, a priori, d’y voir quelque chose de malsain. « Maintenant, en revanche, le bout de code malicieux est connu. Apple peut donc scanner son App Store et détecter précisément les applis infectées », explique Arnaud Kopp, directeur technique Europe du sud chez Palo Alto Networks.
Qui est responsable de cette situation ? Contre qui peut-on se retourner ?
Difficile à dire car cette situation est assez inédite. Les éditeurs ont, a priori, une grosse part de responsabilité, car ils ont utilisés des outils de développement infectés, alors qu’ils auraient pu se procurer des versions saines auprès d’Apple.
En théorie, il devrait donc être possible de déposer une réclamation et de se faire rembourser l’achat dans le cas d’une application payante. Les entreprises utilisatrices de CamCard y songent peut-être déjà…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.