Une application présente à la fois au sein d’iOS et de macOS a été concernée par une faille de sécurité importante. Apple met en garde les utilisateurs de ses systèmes d’exploitation, qui pourraient être victimes d’un vol de données personnelles.
Il y a des failles de sécurité partout, même chez Apple. Si la firme de Cupertino a été assez peu exposée à ce type de situation pendant des années, aujourd’hui, ni iOS ni macOS ne sont épargnés par les failles de sécurité, y compris les plus critiques.
La preuve, avec celle qui a été récemment découverte au sein de l’application « Apple Shortcuts » ou « Raccourcis d’Apple », à la fois disponible sur les ordinateurs et sur les appareils mobiles de l’entreprise américaine. Cette application, qui permet d’automatiser certaines tâches sous iOS et macOS, a énormément d’avantages pour les personnes qui l’utilisent. Mais jusqu’à récemment, cette application cachait aussi une grosse vulnérabilité.
Une faille de sécurité importante chez Apple
C’est l’éditeur en sécurité Bitdefender qui a mis le doigt sur le problème : « Nous avons découvert une vulnérabilité dans Apple Shortcuts qui permet à un attaquant potentiel d’accéder à des données sensibles avec certaines actions sans inciter l’utilisateur », explique un communiqué détaillé publié le 22 février dernier.
Notée 7,5 sur 10 sur l’échelle Common Vulnerability Scoring System, la faille, nommée CVE-2024-23204, est capable de contourner la transparence, le consentement et le contrôle (TCC) au sein des OS d’Apple. Concrètement, cela signifie qu’elle peut passer outre les « verrous » numériques mis en place pour empêcher les applications d’accéder à certaines données, à moins que l’utilisateur ne donne son autorisation.
Les hackers ont donc réussi à contourner l’utilisation d’Apple Shortcuts pour récupérer certaines données sensibles des utilisateurs touchés, notamment en utilisant la fonction « Développer l’URL ». « La méthode consiste à sélectionner toutes les données sensibles (photos, contacts, fichiers et données du presse-papier) dans les raccourcis, à les importer, à les convertir à l’aide de l’option d’encode de base 64 et, finalement, à la transmettre au serveur malveillant », explique Bitdefender.
Un problème déjà corrigé par l’entreprise
Comme on peut s’en douter, Bitdefender a immédiatement alerté Apple suite à la découverte que cette faille de sécurité. La firme de Cupertino a alors fait le nécessaire pour la corriger dès janvier via la mise à jour iOS 17.3. De son côté, macOS Sonoma 14.3 a aussi été protégé à l’aide de vérifications d’autorisation supplémentaires.
Bitdefender a donc attendu qu’Apple agisse avant de dévoiler publiquement sa trouvaille. Cependant, l’éditeur en sécurité recommande tout de même aux possesseurs de machines qui fonctionnent sous iOS, iPadOS et macOS de bien vérifier si leurs appareils sont à jour, pour s’éviter toute mauvaise surprise. Il recommande également de faire preuve de prudence « lors de l’exécution de raccourcis provenant de sources non fiables ». C’est donc toujours un peu la même rengaine : il faut être méfiant.