3 millions d’applications iPhone et Mac sont restées vulnérables aux attaques pendant 10 ans

Des chercheurs en cybersécurité révèlent l'existence de failles importantes sur environ 3 millions d'applications d'iPhone et de Mac. Elles sont présentes depuis au moins 10 ans.

Il est loin le temps où l'on affirmait que les produits Apple ne pouvaient pas être la cible de virus et autres cyberattaques malveillantes. Aujourd'hui, il n'est pas rare d'entendre des histoires à propos d'un malware infiltrant les Mac pour voler vos données, ou bien d'un virus qui se propage via iMessage. Heureusement, les failles ainsi dévoilées sont rapidement corrigées pour éviter toutes conséquences fâcheuses. Mais il arrive parfois que les vulnérabilités passent inaperçues.

C'est le cas de celles découvertes par les chercheurs de la firme EVA Information Security. Elles touchent CocoaPods, un répertoire contenant des ressources pour les développeurs. Ces dernières sont utilisées dans environ 3 millions d'applications disponibles sur iPhone ou sur Mac. Au nombre de 3, les failles en question y sont présentes depuis 10 ans.

Le risque est réel : “de nombreuses applications peuvent accéder aux informations les plus sensibles d'un utilisateur : données de cartes de crédit, dossiers médicaux, documents privés, etc. L'injection de code dans ces applications pourrait permettre aux pirates d'accéder à ces informations à toutes les fins malveillantes imaginables – rançongiciels, fraude, chantage, espionnage d'entreprise…“, rappellent les experts.

Pendant 10 ans, 3 millions d'applications iOS et macOS présentaient des failles de sécurité

En exploitant ces failles, un pirate peut par exemple détourner le mail d'authentification envoyé au développeur d'un des composants de CocoaPods. Au lieu du lien de vérification, il en reçoit un renvoyant directement les informations personnelles au hacker. Les équipes derrière CocoaPods ont été mises au courant par EVA et tout a été corrigé en octobre 2023. Elles affirment n'avoir pas connaissance d'une quelconque attaque en lien avec les vulnérabilités repérées.

Lire aussi – Android, iOS : ce malware vole votre visage pour commettre des fraudes

L'entreprise de cybersécurité est moins optimiste. “Bien qu'il n'existe aucune preuve directe de l'exploitation de l'une ou l'autre de ces vulnérabilités dans la nature, la preuve de l'absence n'est pas l'absence de preuve. Les modifications de code potentielles pourraient affecter des millions d'appareils Apple dans le monde, qu'il s'agisse d'iPhone, de Mac, d'AppleTV ou d'Apple Watch“. Il n'y a rien à faire de votre côté si vous utilisez une des 3 millions d'applications concernées, si ce n'est espérer que CocoaPods dit vrai.