Publié le 10 juillet 2024, modifié le 10 juillet 2024.
Par Christophe Romei

Pratiquement tous les appareils Apple menacés par une attaque de la chaîne d’approvisionnement CocoaPods

Publié le 10 juillet 2024, modifié le 10 juillet 2024.
Par Christophe Romei

Découvrez les dernières tendances et menaces en cybersécurité pour rester à l'avant-garde de la protection de vos actifs numériques. Abonnez-vous à notre newsletter pour recevoir des conseils experts, des analyses approfondies et les actualités essentielles pour sécuriser votre entreprise dans un monde numérique en constante évolution.

La faille CocoaPods : une menace pour l’industrie informatique

C’est une information qui a de quoi interpeller le secteur informatique : la plateforme open-source CocoaPods aurait pu être le théâtre d’importants abus, selon les chercheurs en sécurité de la société israélienne EVA Information Security. Ce gestionnaire de dépendances, utilisé dans plus de trois millions d’applications codées en Swift et Objective-C, présenterait des vulnérabilités exploitées par des acteurs malintentionnés pour saisir des milliers de packages.

Les vulnérabilités majeures révélées

Trois principales vulnérabilités ont été mise en évidence par l’équipe d’EVA Information Security. La première, baptisée “CVE-2024-38368“, fait référence à une situation où près de 1 870 “Pods” sont restés non réclamés, permettant ainsi leur accès anonyme. Une seconde faille, “CVE-2024-38366“, autoriserait le contrôle à distance du serveur Trunk, pouvant aboutir à une exécution de code malveillant. Enfin, une troisième vulnérabilité dans le code source du serveur Trunk, “CVE-2024-38367“, permettrait de dérober des tokens de validation de session sans nécessité d’interaction de l’utilisateur.

Quels impacts ?

Si ces failles n’ont pas été observées comme ayant été exploitées, les risques ne sont pas à négliger. D’autant plus que des applications majeures comme celles de Meta, Apple, Microsoft, TikTok, Amazon et bien d’autres ont été décelées comme utilisant des Pods vulnérables. Ceci signifie que de “milliers à des millions d’applications pourraient être exposées à l’exploitation par la vulnérabilité . Étant donné que la dépendance à l’open source est quasi universelle, il est donc crucial de rester vigilant face à ces risques. Les chercheurs recommandent à tous les utilisateurs de CocoaPods de revisiter leurs dépendances pour les Pods non réclamés, de vérifier la somme de contrôle de tout code téléchargé depuis le serveur Trunk de CocoaPods, mais aussi, à plus grande échelle, de surveiller attentivement les risques associés à la chaîne d’approvisionnement du logiciel open source.

En tout cas une fois signalé, le problème a été géré de manière responsable, rapidement résolu, et aucune preuve d’exploitation n’a été trouvée. Cependant, la réalité est que CocoaPods ne bénéficie plus de la même attention en matière de maintenance qu’auparavant et continuera de perdre en popularité à mesure que de plus en plus de personnes adopteront SwiftPM. L’équipe de maintenance, composée de bénévoles, accomplit un travail formidable dans l’ombre, mais SwiftPM représente l’avenir selon certains analystes.

La suite dans notre newsletter

Les infos importantes

  • Menace pour l’industrie des apps en Swift et Objective-C
  • L’OTAN face aux cybermenaces croissantes

Les autres infos de la semaine

  • Telefónica Tech, leader en Cybersécurité
  • Lutte contre la fraude dans les paiements sans contact
  • 5 conseils clés pour améliorer la cybersécurité des PME
  • Augmentation de 50 % des dépenses annuelles en cybersécurité
  • Croissance des ventes de Cybersécurité OT
  • Sécurité des réseaux Wi-Fi publics dans les aéroports
  • Augmentation des attaques DDoS au T2 2024
  • 9 Européens sur 10 s’inquiètent de l’usurpation d’identité numérique
Lire aussi