Près de trois millions d’applications sont menacées par une faille qui impacte le gestionnaire de dépendance CocoaPods. Et tout cela serait dû à un accident ayant eu lieu en 2014.
Un gestionnaire de dépendance est un logiciel conçu pour permettre aux applications de gérer des bibliothèques ou des paquets externes lors de la conception d’un logiciel. En d’autres termes, cela permet de gérer des éléments externes à l’application, et qui peuvent être mis en commun pour être une base commune à plusieurs apps.
En 2014, donc, le système d’authentification de CocoaPods a migré vers un nouveau serveur, et à la suite d’une erreur les différents packages ont perdu leur relation avec leurs propriétaires, et il a donc fallu que ceux-ci revendiquent à nouveau leur propriété. Or, tous les packages (ou pods, comme dans le nom « CocoaPods ») n’ont pas recouvert leur appartenance, et sont donc devenus, en quelque sorte, « orphelins ».
Mais voilà : CocoaPods a particulièrement trainé avant de cesser le processus de recouvrement. Il était en effet encore possible de revendiquer la paternité d’un pod jusqu’en 2023, et inévitablement, cela veut dire que des petits malins pouvaient tout à fait s’approprier un de ceux qui ne leurs appartenaient pas. Une fois cela fait, n’importe qui peut, factuellement, faire n’importe quoi.
Avec tout cela, on aurait pu penser que le problème serait bien connu. Eh bien pas vraiment : c’est la société de cybersécurité E.V.A. qui a en effet découvert le pot au rose, et les trois failles de sécurités qui lui sont particulièrement associées : elles permettent ainsi de prendre le contrôle de plusieurs pods en exécutant du code à distance. Malin…
Et très dangereux. Car ce ne sont pas de petites applications qui sont concernées… Tinder, Instagram, X, etc. Toutes sont concernées… En tout cas en ce qui concerne leur version Apple.
Pour l’heure, inutile de s’alarmer. Il conviendra de mettre à jour au plus vite vos applications en vous connectant régulièrement au Wifi. Et d’éviter de prendre des risques avec vos appareils.
Il faudra probablement quelque temps avant que toutes les applications concernées soient corrigées, mais fort heureusement, les développeurs sont maintenant au courant, et devraient donc se mettre en ordre dans les semaines à venir.
_
Suivez Belgium-iphone sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.
Recevez nos dernières infos directement sur votre WhatsApp en vous abonnant à notre chaine.