Dix ans : c’est le temps dont ont disposé plusieurs failles de sécurité critiques dans CocoaPods avant d’être repérées par les équipes de sécurité d’E.V.A. Un laps de temps suffisamment long pour que des millions d’applications iOS et macOS soient concernées, et des milliards d’appareils Apple exposés. Ces vulnérabilités, très sérieuses, pourraient permettre aux cyberattaquants de mener des attaques supply chain et d’exécuter du code arbitraire en vue de dérober des données très sensibles, comme des informations bancaires.
C’est avant tout une menace qui doit alerter les développeurs d’applications pour iOS et macOS. Nichées dans CocoaPods, gestionnaire de dépendances pour les projets Swift et Objective-C offrant la possibilité de manipuler plus de 100 000 librairies externes, ces failles remontent à 2014.
À l’époque, la migration du système d’authentification de la plateforme basé sur GitHub vers un nouveau serveur « Trunk » ne s’est pas tout à fait déroulée comme prévu, réinitialisant l’intégralité des droits de propriété sur l’ensemble des paquets (pods) hébergés par le service. Il a donc fallu que les développeurs se manifestent auprès de CocoaPods pour revendiquer la paternité de leurs propres pods. C’est ici que les choses ont mal tourné. Dans la confusion générale, de nombreux utilisateurs et utilisatrices de la plateforme n’ont jamais réclamé leurs pods qui, à ce jour, demeurent sans propriétaire.
Problème : jusqu’en 2023, le processus permettant de réclamer des pods était toujours accessible au public. En clair, n’importe qui ayant connaissance de cette information pouvait mettre la main sur des dépendances orphelines stockées par CocoaPods, les manipuler et appliquer ces modifications aux applications iOS et macOS qui les intègrent.
Au total, E.V.A. estime à environ 3 millions le nombre d’applications concernées, parmi lesquelles Instagram, X.com, Airbnb, Uber, Tinder ou Slack, et à plusieurs millions, voire milliards, le nombre d’appareils Apple menacés.
