iOS : les raccourcis, c'est génial, mais n'utilisez pas n'importe lesquels

Stéphane Moussie |

Les raccourcis d’iOS 12 ouvrent tout un tas de nouvelles possibilités sur iPhone et iPad. Avec ce nouveau type de script, vous pouvez automatiser des actions liées à de nombreux contenus et fonctions de votre appareil. La conséquence quasiment inévitable, c’est que des malandrins commencent à exploiter ce système pour des actes malveillants.

Un développeur iOS est tombé sur un raccourci qui se fait passer pour un optimiseur de mémoire mais qui en réalité vole de nombreuses informations personnelles. Il rassemble dans un dossier compressé les contacts, les adresses, l’historique de navigation et les fichiers enregistrés sur l’appareil, entre autres, puis met en ligne ce dossier sur un serveur et partage le lien au pilleur via iMessage. Une partie des actions réalisées par le raccourci est camouflée grâce à un encodage en base64.

Exemple de raccourci : afficher le code source d’une page web.

Les raccourcis d’iOS, que tout un chacun peut créer avec l’application du même nom, sont très puissants, même un peu trop, car ils peuvent accéder aux fichiers bas niveau du système, ce qui s'apparente à une faille de sécurité qui ne demande qu'à être exploitée.

Or, contrairement aux applications disponibles dans l’App Store, il n’y a pas de validation des raccourcis créés et on peut les distribuer librement sur internet. C’est un grand avantage, l’inventivité n’est ainsi pas bridée, mais c’est aussi une source de risques.

Il n’est pas question de vous dissuader d’utiliser les raccourcis, ce serait dommage de vous priver de cet ajout majeur, mais de vous donner quelques conseils pour éviter des déboires. Ces conseils sont en fait les mêmes que ceux valables pour échapper aux logiciels malveillants de manière générale :

  • N’utilisez que des raccourcis provenant de personnes ou de sites de confiance. L’application Raccourcis dispose d’une galerie avec une petite sélection. Le site Sharecuts recense des raccourcis de personnes connues de la communauté Apple (la plateforme est uniquement sur invitation pour le moment). Il y a également ShortcutsGallery, qui est plus ouvert (on peut noter chaque raccourci partagé). Nous en partageons aussi de temps en temps sur iGeneration.
Galerie de raccourcis créés par Apple
  • Vérifiez l’authenticité du raccourci. Si vous avez trouvé un raccourci sur un forum ou un réseau social et que vous ne pouvez pas identifier son créateur, vérifiez son fonctionnement. Avant l’ajout du raccourci, vous pouvez voir clairement quels services et apps il utilise. S’il demande l’accès aux Messages alors qu’il sert normalement à recadrer des images uniquement, il y a quelque chose qui cloche. Vous pouvez même voir son fonctionnement en détail en touchant « Afficher les actions ». Seulement, l’exemple cité plus haut montre que le malandrin peut camoufler une partie des opérations.
Informations disponibles sur un raccourci avant son utilisation.

On rappelle aussi que les raccourcis ne peuvent pas s’exécuter automatiquement. Ce n’est pas parce que vous avez ajouté le faux optimiseur de mémoire dans votre bibliothèque que vos données personnelles vont s’envoler immédiatement. Il faut encore que vous déclenchiez vous-même le raccourci.

Les malandrins exploitant les raccourcis ne comptent pas tant sur une faille technique que sur la crédulité des utilisateurs pour parvenir à leurs fins. Une tactique qui a fait ses preuves.

Il faudra voir comment Apple traite cette menace dans les futures versions d’iOS et si elle parvient à le faire sans brider les possibilités. On peut imaginer la mise en place de garde-fous supplémentaires ainsi qu’un système de validation dans la galerie intégrée à l’application Raccourcis.

Notre livre consacré à Raccourcis sera disponible prochainement. Il présentera de manière approfondie le système d’automatisation d’iOS.

avatar Alcoreylive | 

Je trouve dommage qu’on ne puisse pas créer des raccourcis pour activer ou désactiver des notifications d’objets connectés HomeKit.
Par exemple, quand je dis a Siri “les enfants sont couchés” hop, ça active les notifications sur un capteur de présence du couloir pour prévenir si un enfant sort de sa chambre.

J’espère qu’ils augmenteront rapidement les possibilités.

avatar iPop | 

@Alcoreylive

Ça doit certainement être possible.

avatar tigre2010 | 

@Alcoreylive

Il faut créer une scène dans l’appli maison, faire un raccourci et demander à siri de l’exécuter :)

avatar Alcoreylive | 

@tigre2010

Je veux bien un tuto alors, parce que après de longues recherches, je ne trouve nul part comment modifier le statut des notifications des capteurs via les scènes.
Il te dit que tu ne peux activer un capteur car il est toujours allumé.

avatar swiftrabbit | 

Je n’utilise que des emojis partagés par macg :D

avatar Floriendive | 

Je scrute attentivement le Subreddit r/shortcuts parce-qu'ils ont vraiment des idées excellentes!
Cependant j'admets regarder peu la recette du Raccourcis et l'utilise souvent précipitamment :/

avatar lesurfeurfou | 

@ macg
Cool ! j’attends votre livre avec impatience pour m’y intéresser

avatar maxswinguy | 

J’avoue que j’attends (avec impatience) votre livre pour me plonger dans Raccourcis ! #nopressure

avatar plazza | 

Je n’ai toujours aucun raccourci, je n’en ai trouvé aucun qui puisse m’apporter quelque chose de plus que HomeKit ou raccourci Siri par exemple. Pourtant ma maison est full connectée. Quelqu’un a des idées ?

avatar daffyduuck | 

@plazza

Les seuls raccourcis dont je me sers sont des raccourcis qui se tapent tout le boulot de remplissage de mon calendrier en fonction de mon planning (que je reçois par mail). Il extrait les dates et heures, crée les événements qui correspondent, et adapte les autres agendas en conséquence (je finis à 19h? Automatiquement ça crée un événement « macdo » dans l’agenda « menus », parce que plus le temps de faire à manger sinon). Gain de temps estimé: 10 minutes par semaine. J’ai déjà rentabilisé l’heure que j’ai passé à écrire ce shortcut.
Quand je pars du boulot j’ai un raccourcis « je pars du boulot », qui avertis ma femme que je suis en route par sms; lance une playlist que j’écoute sur le chemin, et affiche l’heure de passage de mon prochain bus avec l’app transit.
Bref difficile de te conseiller un raccourcis spécial: demande toi juste quelles sont les manipulations que tu effectue souvent sur ton iPhone ou iPad, et tu saura de quels raccourcis tu as besoin.

avatar Shralldam | 

@daffyduuck

Je n’imaginais pas qu’on pouvait aller jusque là avec Raccourcis. Vous piquez ma curiosité !

avatar iPop | 

@Shralldam

Et encore ça c’est simple. Moi je m’en sert pour Zipper, extraire ou créer des documents, formater ou renommer des images, etc...

avatar plazza | 

@daffyduuck

D’accord j’ai compris. J’utilise souvent l’application Arlo pour armer ou désarmer la caméra. Mai malheureusement je n’ai trouvé aucun raccourci pour ça. Ou alors je m’y prends mal.

avatar Bruno de Malaisie | 

J’attends aussi impatiemment le livre sur Shortcuts....

avatar UraniumB | 

Ce que j’adorerais c’est un tutoriel pour utiliser JavaScript dans Raccourcis : C’est vraiment utile !

avatar iDanny | 

Vous avez le lien vers le raccourci en question, histoire de voir comment c’est foutu ?

Du coup j’ai appris qu’il y a une action pour encoder / décoder en base64, merci 😊

avatar The Joker WSS | 

Tant mieux si les gens trouvent leur habitudes dans « raccourcis » mais je me dis juste qu’au final, cette app n’est pas faite pour le grand public. à la limite  pouvait la réserver aux développeurs uniquement.

Je me demande ce que Steve Jobs pense de ça 🤔

avatar PierreBondurant | 

Article utile 👍🏻

avatar Gremie | 

Attention si vous utilisez le widget Raccourcis et un raccourci qui implique le passage en mode avion.
Même en écran verrouillé, le raccourci fonctionne sans demander d’authentification TouchId ou FaceId alors que pour l’utilisation de Messages ou de la géolocalisation par exemple, il faut bien s’identifier. Pourtant en demandant à Siri de passer en mode avion, l’iPhone réclame bien de s’identifier.

CONNEXION UTILISATEUR