L'entreprise EVA Information Security à découvert une faille de sécurité majeure vieille de 10 ans sur les applications iOS et macOS qui auraient pu permettre le vol de nombreuses données utilisateurs.

C’est dans un rapport fourni par EVA Information Security que l’on apprend que près de 3 millions d’applications sur iOS et macOS auraient été vulnérables pendant 10 ans à une faille de sécurité majeure. La faute reviendrait à l’hébergeur de code open-source CocoaPods.

Un projet Open Source

De nombreuses applications proposent des fonctionnalités similaires qui fonctionnent sans surprises avec un code similaire. Ainsi, bon nombre de développeurs font appels à des bibliothèques de code open-source pour récupérer ces fonctionnalités de base ou bien des fonctionnalités avancées en dehors de leurs compétences. C’est là qu’intervient Cocoapods.

Ce service, lancé en 2011, permet de retrouver des « pods », des bibliothèques, où se fournir en code. Lorsque ces dernières se mettent à jour, les applications utilisant leur code se mettent elles-mêmes automatiques à jour. Les failles pointées par EVA Information Security dateraient de 2014 et entre autres d’une mauvaise migration de serveur.

Une faille en cascade

Les failles sur le projet sont multiples. Le rapport nous indique que cette migration de serveur incomplète en 2014 aurait laissé sans propriétaires des milliers de bibliothèques de code utilisés. La propriété de ces derniers aurait pu être facilement récupérée et en injectant des malwares en son sein, se répercuter en chaîne et automatiquement sur des milliers d’applications. À cela se rajoutait également un problème d’authentification et de vérification d’e-mail non sécurisé permettant à des personnes malintentionnées de rediriger l’URL vers de mauvais serveurs.

Ces failles auraient pu permettre à des personnes d’accéder à de nombreuses données utilisateurs comme les détails de votre carte de crédit ou encore vos dossiers médicaux. Libres à eux ensuite d’imaginer des utilisations comme la fraude, le chantage ou encore l’espionnage industriel. Les entreprises utilisant ces morceaux de code s’exposant derrière à de nombreuses répercutions juridiques.

L’entreprise se veut rassurante et indique après avoir échangé en privé avec Cocoapods que ces failles ont été corrigées en octobre dernier. Toutefois, EVA conseille aux développeurs de vérifier le code de leurs bibliothèques externes.

Pour aller plus loin

Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !