Quel Internaute pourrait se passer de copier-coller? Assurément aucun. Il existe depuis le début de l’informatique et nous l’utilisons régulièrement quand nous surfons le web. Et pourtant, cette activité n’est pas totalement dépourvue de risque, comme vient de le montrer Dylan Ayrey, un expert en sécurité. Il a trouvé une méthode baptisée PastJacking permettant d’exécuter des commandes sur l’ordinateur d’un internaute, sans que celui-ci ne s’en rende compte.
Le langage Javascript permet en effet de modifier le contenu du presse-papier après avoir fait un « Ctrl-C » pour copier un bout de texte. Il est donc possible de les remplacer par des lignes commande qui seront automatiquement exécutées si le contenu du presse-papier est collé dans une fenêtre de terminal, voire même dans un éditeur de texte.
Pour le prouver, Dylan Ayrey a créé deux exemples d’exploitation et les démontre sur son blog. Dans le premier cas, l’utilisateur est invité à copier-coller la ligne « echo “evil” », mais ce qu’il récupère en réalité est le code ci-dessous qui, collé dans un interpréteur de commandes sous Linux ou Mac OS X , crée un fichier, puis efface l’écran avant d’afficher la commande que l’utilisateur était censé copier. Celui-ci, du coup, n’y voit que du feu.
touch ~/.evil
clear
echo “not evil”
Le second exemple est similaire, mais utilise cette fois une macro-commande d’un éditeur de texte. Le code récupéré affiche les mots de passe d’un utilisateur Mac ou Linux lorsque qu’il colle le contenu de son presse-papier dans le logiciel Vim, bien connu des geeks.
echo “evil”
x1b:!cat /etc/passwd
On le voit bien : ces attaques ne ciblent pas l’internaute lambda, mais ceux qui ont l’habitude de manipuler des lignes de commande et des outils un peu spéciaux. Pour se protéger, c’est simple. Il suffit de désactiver Javascript dans le navigateur, mais c’est quand même un peu ennuyeux. Une autre solution serait de copier-coller le contenu du presse-papier dans un éditeur de texte basique et dépourvu de macro-commandes. A noter, par ailleurs, que certains interpréteurs de commande, tels que iTerm sur Mac ou Cmder sous Windows, génèrent une alerte quand un texte contient un retour-chariot susceptible d’exécuter une commande sans l’aval de l’utilisateur.
Manipulation par CSS
Ce n’est pas la première que les hackers se penchent sur le copier-coller. Il y a plus de trois ans, Jann Horn avait présenté une méthode pour cacher du texte sur un page web en utilisant les feuilles des styles CSS. Dans une note de blog, il a créé un exemple de ligne de code à copier-coller. Mais en réalité, elle contenait toute une partie située totalement hors champ. Là encore, la solution est de coller le contenu du presse-papier d’abord dans un éditeur basique.
Sources :
Dylan Ayrey, Jann Horn (via Naked Security)
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.