Les raccourcis d’iOS 12 ouvrent tout un tas de nouvelles possibilités sur iPhone et iPad. Avec ce nouveau type de script, vous pouvez automatiser des actions liées à de nombreux contenus et fonctions de votre appareil. La conséquence quasiment inévitable, c’est que des malandrins commencent à exploiter ce système pour des actes malveillants.
Un développeur iOS est tombé sur un raccourci qui se fait passer pour un optimiseur de mémoire mais qui en réalité vole de nombreuses informations personnelles. Il rassemble dans un dossier compressé les contacts, les adresses, l’historique de navigation et les fichiers enregistrés sur l’appareil, entre autres, puis met en ligne ce dossier sur un serveur et partage le lien au pilleur via iMessage. Une partie des actions réalisées par le raccourci est camouflée grâce à un encodage en base64.
Les raccourcis d’iOS, que tout un chacun peut créer avec l’application du même nom, sont très puissants, même un peu trop, car ils peuvent accéder aux fichiers bas niveau du système, ce qui s'apparente à une faille de sécurité qui ne demande qu'à être exploitée.
Or, contrairement aux applications disponibles dans l’App Store, il n’y a pas de validation des raccourcis créés et on peut les distribuer librement sur internet. C’est un grand avantage, l’inventivité n’est ainsi pas bridée, mais c’est aussi une source de risques.
Il n’est pas question de vous dissuader d’utiliser les raccourcis, ce serait dommage de vous priver de cet ajout majeur, mais de vous donner quelques conseils pour éviter des déboires. Ces conseils sont en fait les mêmes que ceux valables pour échapper aux logiciels malveillants de manière générale :
- N’utilisez que des raccourcis provenant de personnes ou de sites de confiance. L’application Raccourcis dispose d’une galerie avec une petite sélection. Le site Sharecuts recense des raccourcis de personnes connues de la communauté Apple (la plateforme est uniquement sur invitation pour le moment). Il y a également ShortcutsGallery, qui est plus ouvert (on peut noter chaque raccourci partagé). Nous en partageons aussi de temps en temps sur iGeneration.
- Vérifiez l’authenticité du raccourci. Si vous avez trouvé un raccourci sur un forum ou un réseau social et que vous ne pouvez pas identifier son créateur, vérifiez son fonctionnement. Avant l’ajout du raccourci, vous pouvez voir clairement quels services et apps il utilise. S’il demande l’accès aux Messages alors qu’il sert normalement à recadrer des images uniquement, il y a quelque chose qui cloche. Vous pouvez même voir son fonctionnement en détail en touchant « Afficher les actions ». Seulement, l’exemple cité plus haut montre que le malandrin peut camoufler une partie des opérations.
On rappelle aussi que les raccourcis ne peuvent pas s’exécuter automatiquement. Ce n’est pas parce que vous avez ajouté le faux optimiseur de mémoire dans votre bibliothèque que vos données personnelles vont s’envoler immédiatement. Il faut encore que vous déclenchiez vous-même le raccourci.
Les malandrins exploitant les raccourcis ne comptent pas tant sur une faille technique que sur la crédulité des utilisateurs pour parvenir à leurs fins. Une tactique qui a fait ses preuves.
Il faudra voir comment Apple traite cette menace dans les futures versions d’iOS et si elle parvient à le faire sans brider les possibilités. On peut imaginer la mise en place de garde-fous supplémentaires ainsi qu’un système de validation dans la galerie intégrée à l’application Raccourcis.
Notre livre consacré à Raccourcis sera disponible prochainement. Il présentera de manière approfondie le système d’automatisation d’iOS.