Vous pensez que c’est inoffensif. Vous voulez capturer un extrait de code d’un tutoriel en ligne pour une utilisation ultérieure. Vous ne voulez pas le retaper de peur de faire une erreur. Vous décidez donc qu’il est plus rapide et plus facile de copier-coller. Êtes-vous conscient de ce qui pourrait arriver? Vous venez de faire une erreur?
Dans le code que vous avez copié, un pirate informatique peut avoir caché un code malveillant qui pourrait télécharger et installer des logiciels malveillants sur votre ordinateur à votre insu. S’il y a une opportunité, un pirate informatique l’exploitera. Vous pensez peut-être que vous ne tomberez jamais dans le piège, mais les erreurs arrivent.
Exit l’ancien – À l’intérieur du nouveau
L’ajout de contenu malveillant à un presse-papiers n’est pas un concept nouveau. Des exploits dans les feuilles de style en cascade (CSS) ont été utilisés dans le passé. Un attaquant peut utiliser CSS pour ajouter du contenu malveillant dans un presse-papiers sans que l’utilisateur le sache, ce qui facilite l’exécution des commandes. C’est ce qu’on appelle le détournement de presse-papiers.
Une version plus récente de l’attaque utilisant JavaScript a été présentée sur GitHub par Dylan Ayrey, un développeur Full Stack. Dans la démonstration, il montre qu’il n’est pas nécessaire de saisir le texte entier pour exécuter une commande. Le code JavaScript pourrait couvrir toute la page et tout ce qui doit être capturé est une lettre.
C’est ce qu’on appelle le détournement de paste. C’est lorsqu’une victime ne voit pas ce qu’elle colle avant qu’il ne soit exécuté. Il est exécuté en utilisant uniquement le raccourci clavier (CTRL-V) avec JavaScript activé.
Un facteur clé de différenciation dans le collage est que l’exécution du code peut être retardée après un événement. Un attaquant peut pirater en combinant le piratage et un courriel d’hameçonnage malveillant.
La voie de contournement
Il existe quelques options que vous pouvez prendre pour empêcher l’exécution du code. Vous pouvez désactiver JavaScript ou copier d’abord le contenu dans un éditeur de texte. Il s’agit d’une mesure intermédiaire. Aucun code ne sera exécuté ici. Vous pouvez voir s’il y a d’autres lignes de code que vous n’avez pas sélectionnées avant de les coller là où vous voulez vraiment qu’elles aillent.
Il existe des outils tiers qui vous permettent de savoir si un script a la permission de s’exécuter, de s’exécuter temporairement ou d’être bloqué à partir d’un site particulier. Le problème, c’est que ces outils ne sont pas infaillibles à 100%.
Dans l’article de recherche CrossFire : An Analysis of Firefox Extension Re-Use Vulnerabilities, il identifie neuf des modules complémentaires de navigateur les plus populaires pour FireFox qui contiennent des vulnérabilités exploitables. NoScript est l’un d’entre eux. Ces modules complémentaires sont sensibles à ce que l’on appelle une vulnérabilité de réutilisation d’extension. Un attaquant peut s’appuyer sur l’extension complémentaire de confiance pour dissimuler un comportement malveillant.
En conclusion
Ne vous fiez pas à des outils tiers pour vous protéger contre les codes malveillants cachés. Ne vous précipitez pas pour coller ce texte dans votre ordinateur. La meilleure chose à faire est de revoir ce que vous avez copié d’abord dans un éditeur de texte. Soyez d’esprit que ce que vous avez copié est potentiellement hostile jusqu’à ce que vous l’ayez désinfecté.
