Passer au contenu

Une faille dans Chrome permet aux sites de modifier en douce votre presse-papier

En raison d’un bug, les sites web peuvent altérer le contenu du presse-papier à n’importe quel moment, sans que cela soit lié à une action de l’utilisateur. Ce qui est plutôt dangereux.

Si vous utilisez Chrome ou un dérivé de Chromium, faites bien attention à votre presse-papier, cet espace de stockage de votre ordinateur qui permet de faire du copier-coller. Il faut en effet savoir que n’importe quel site Web peut, à n’importe quel moment, modifier le contenu de votre presse-papier sans aucune action de votre part et sans que vous le sachiez. Il n’y a aucune alerte ni aucune demande de consentement.

Ce fait a été découvert par l’informaticien Jeff Johnson et relayé par The Hacker News. Au-delà du caractère intrusif, cette possibilité technique pourrait se révéler gênante, voire nocive. On pourrait imaginer un scénario dans lequel l’adresse d’un portefeuille de cryptomonnaie soit modifié, afin de détourner un transfert de fonds. Ou que le lien d’une page Web soit modifié à la volée pour être remplacé par celui d’un site malveillant. Il faut juste avoir un peu d’imagination.

Clipboard, une drôle d’API

Ce problème est lié à l’interface de programmation Clipboard. Selon Jeff Johnson, elle est déjà en soi une bizarrerie, car elle donne un accès en écriture au presse-papier sur la base d’un geste de l’utilisateur. Par exemple, un déplacement ou un clic de souris, la validation d’un bouton de formulaire ou l’utilisation des touches directionnelles.

« Un geste aussi innocent que le clic sur un lien ou la pression d’une touche directionnelle pour faire défiler la page donne au site Seb la permission de modifier le presse-papier ! C’est autorisé dans tous les navigateurs, y compris Safari (desktop et mobile) et Firefox (…) Le principal défaut dans ce design, c’est que l’action d’un utilisateur équivaut à son consentement », écrit Jeff Johnson dans une note de blog.

Là où Chrome fait pire que les autres, c’est que depuis la version 104, l’accès en écriture n’est même plus lié à un geste de l’utilisateur. Il peut désormais se faire à tout moment. Ce bug résulte d’une incompatibilité avec un autre module logiciel. Il est prévu de le corriger, mais aucune date n’a été annoncé pour l’instant.

Une faille facile à tester

Pour tester l’effet de cette faille, il suffit d’aller sur le site webplatform.news. Dès que la page est chargée, vous pourrez faire un copier-coller dans un document et constater que celui-ci contient le texte suivant :

Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.

La note de blog de Jeff Johnson permet également de tester cette faille. Il faut souligner que seul l’accès en écriture est concerné par cette alerte, pas l’accès en lecture. Pour lire le contenu d’un presse-papier, les sites Web doivent en demander explicitement le droit. Encore heureux.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Hacker News


Gilbert KALLENBORN