Sergey Nivens - Fotolia

XcodeGhost, la menace qui jette une ombre sur le développement offshore

Révélée il y a une semaine, la menace qui affecte de très nombreuses applications iOS diffusées sur l’App Store d’Apple pose la question des pratiques de développement dans les pays à bas coût.

Est-il bien raisonnable d’externaliser le développement d’applications iOS dans des pays à bas coût comme la Chine ou l’Inde ? La question est posée par la menace XcodeGhost qui frappe l’écosystème Apple. Et elle concerne aussi bien les applications grand public que celles commandées par des entreprises pour leurs besoins métiers.

Pour mémoire, XcodeGhost est une menace découverte par les chercheurs de Palo Alto Networks avec, à son origine, des versions vérolées de Xcode, l’environnement de développement d’Apple, distribuées en Chine : toutes les applications compilées avec ces versions de Xcode étaient assorties de code malveillant chargé de collecter et d’exfiltrer des données personnelles.

Pour les chercheurs, il y a une bonne explication au fait que des développeurs se soient tournés vers ces versions vérolées de Xcode : « En Chine (et dans d’autres pays à travers le monde), les débits réseau sont parfois très bas lors des téléchargements de fichiers depuis les serveurs d’Apple. Puisque que l’installateur standard de Xcode pèse près de 3 Go, certains développeurs chinois choisissent de télécharger le package à partir d’autres sources ou d’obtenir des copies auprès de collègues ». Quiconque s’est déjà connecté à Internet en Inde – et ce n’est qu’un exemple – n’a aucun mal à imaginer que le phénomène puisse être reproduit dans le sous-continent.

Initialement, Palo Alto Networks avait identifié quelques 39 applications compromises, quand Appthority en comptait 476. Selon FireEye, le compte dépasserait les 4 000.

La propagation de XcodeGhost semble avoir commencé en mars dernier. Mais Palo Alto Networks relève que ce type d’attaque, s’appuyant sur une modification de l’environnement de développement d’Apple pourrait bien ne pas être isolée : d’autres y pensaient déjà en 2012, comme le montrent des documents de la NSA révélés par Edward Snowden.

Apple rapidement commencé à nettoyer son magasin applicatif. En Chine, et étonnamment là uniquement, le groupe publie une mince liste de 25 applications affectées. Il indique également aux développeurs comme se protéger et vérifier l’authenticité de leur version de Xcode.

Mais quid des applications métiers dont le développement a été externalisé ? De manière générale, FireEye suggère aux entreprises de vérifier les alertes remontées par leurs systèmes de sécurité. Les clients de systèmes NX peuvent être alertés d’activités liées à XcodeGhost. Lookout indique de son côté que ses outils sont capables de protéger les entreprises contre les applications métiers affectées.

Hasard du calendrier, c’est ce 22 septembre qu’AirWatch a annoncé le lancement de sa Mobile Security Alliance avec, comme partenaires, Palo Alto Networks, Check Point, FireEye, Appthority, Lookout, Pradeo [membre du club Hexatrust depuis la mi-avril, NDLR], Proofpoint, Skycure, Veracode et Zimperium. Les membres de l’alliance entendent ensemble travailler à l’intégration plus poussée de leurs solutions pour la protection des terminaux, des applications et des flux réseau, en s’appuyant sur les API proposées par la plateforme de gestion de mobilité d’entreprise de la filiale de VMware. Une bonne nouvelle, donc, que le contexte rend encore plus pertinente, mais une demi-surprise : Airwatch intègre les services d’Appthority et de Veracode, pour la sécurité des applications mobiles, depuis la fin 2013.

 

Pour approfondir sur Offshore