XcodeGhost : une épidémie qui a commencé au printemps

Mickaël Bazoge

mercredi 23 septembre 2015 à 09:37 • 18

Le nombre d’applications contaminées par XcodeGhost pourrait bien être bien plus important qu’annoncé jusqu’à présent. La société de sécurité informatique Appthority en a dénombré 476, dont l’apparition date du mois d’avril. L’épidémie est donc loin d’être récente, et il est étonnant de s’apercevoir que malgré le tamis d’Apple et de l’équipe de validation de l’App Store, ces logiciels infectés aient pu prospérer sans éveiller les soupçons jusqu’à très récemment.

On est donc très loin des 25 apps infectées comptées par Apple auxquelles Phil Schiller faisait référence dans une interview donnée au site Sina.com. FireEye estime ce chiffre à plus de 4 000 logiciels qui ont utilisé la version de Xcode trafiquée ; lors de la compilation des applications, l’outil injecte un cheval de Troie à l’insu du développeur.

La bonne nouvelle si on ose dire, c’est que les apps vérolées par XcodeGhost ne provoquent pas de catastrophes de grande ampleur ; on est plus proche d’un adware que d’un programme malicieux attentant à la sécurité des machines ou des personnes (vol d’identifiant et de mot de passe iCloud, par exemple). Ce n’est pas d’un très grand réconfort on en convient, mais c’est toujours mieux qu’un malware virulent.

Apple a communiqué auprès des développeurs à ce sujet, en leur rappelant que les outils mis à la disposition de tous doivent être téléchargés impérativement depuis le Mac App Store. Pour faciliter la vie de tous, le constructeur va également accélérer le téléchargement de Xcode en Chine (lire : « Apple fait de la pédagogie auprès des développeurs après XcodeGhost).

Si du côté des développeurs, les choses ont l’air de se (re)mettre en place, auprès du grand public on attend une communication claire : en absence d’une liste d’applications officielle, il faut se renseigner chez chaque éditeur, ce qui est particulièrement fastidieux. Rovio a ainsi annoncé que seule la version distribuée en Chine d’Angry Birds 2 était affectée ; en revanche, il faudra bien télécharger la dernière mise à jour de WinZip qui « résout les problèmes de sécurité liés à Xcode ».

MacGeneration

iGeneration

WatchGeneration

Services

Rejoignez le Club iGen

XcodeGhost : une épidémie qui a commencé au printemps

MacGeneration a 25 ans !

Actualités

Satechi annonce un hub pour le Mac mini M4

L'Apple Watch Ultra 2 et quatre autres montres à l'épreuve du marathon de New York

Pour son Black Friday, Apple offrira jusqu’à 150 € en carte cadeau

Antitrust : le DoJ réclame officiellement que Google vende Chrome

Apple, Anker : de nombreux adaptateurs secteur en promo (jusqu’à -33 %)

Les meilleures offres de la Black Week. Tout au long du mois de novembre

Le SSD Thunderbolt 5 d'OWC est disponible : le plus rapide du marché, mais aussi le plus cher

Test de l’iMac 24" M4 : haut en couleur

Promotion Black Friday de Godeal24 : Microsoft Office à - 80 %, c'est maintenant 📍

macOS 15.2 : quatrième bêta développeur, et troisième bêta publique 🆕

Refurb : -220 € sur le MacBook Air M3 en 16/1 To

Aqara commercialise aussi un détecteur de fumée connecté compatible HomeKit (avec code promo 🆕)

Apple vs DoJ : la Pomme va demander à un juge fédéral d’abandonner les poursuites

Apple vend désormais elle-même des espaces publicitaires dans Apple News

Beats : Erling Haaland fait de la pub à l'ancienne

YouTube : IMG_0001 déterre de vieilles vidéos filmées à l’iPhone

Image du moment

Tests

Test de l’iMac 24" M4 : haut en couleur

Test des MacBook Pro M4 à M4 Max : une équipe de gros bras

Test des Mac mini M4 et M4 Pro : petits et mignons, mais costauds et économes

Test du BeeDrive de Synology : un SSD connecté qui veut simplifier vos sauvegardes

Test du PC Zenbook Duo d'Asus : deux écrans, c’est deux fois mieux ?

Test de l'Asus Vivobook S15 : enfin un PC Windows ARM qui tient la route grâce au Snapdragon X