Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonPourquoi vous ne devriez pas copier
Envie de copier-coller une commande en ligne ? Réfléchissez à deux fois.
Des ordinateurs aux téléphones portables, le copier-coller est répandu partout. Cela vous facilite la vie et vous fait gagner du temps car vous n'avez pas besoin de taper de longues commandes ou de textes redondants. Cependant, si vous n'êtes pas assez prudent, vous pouvez vous faire pirater en copiant simplement des commandes sur le terminal de votre ordinateur.
Apprenons comment le copier-coller peut vous faire pirater et ce que vous devez faire pour l'empêcher.
Que vous soyez nouveau dans l'utilisation de la ligne de commande ou que vous soyez un vétéran chevronné, vous pourriez être tenté de copier-coller des commandes à partir d'Internet pour gagner du temps et effectuer le travail réel. Cependant, vous devez savoir que les sites malveillants utilisent en fait des boîtes de code pour injecter du code malveillant chaque fois que vous copiez-collez des commandes directement dans le terminal.
Ces acteurs malveillants utilisent diverses astuces frontales pour dissimuler des commandes malveillantes derrière un code apparemment inoffensif.
Une commande commesudoapt-get mise à jour && apt-get mise à niveau devrait normalement mettre à jour les référentiels et mettre à niveau les packages sur un système Linux. Cependant, si vous ne le savez pas et copiez-collez cette commande directement dans votre terminal, vous pourriez sans le savoir exécuter du code malveillant avec les privilèges root en raison dusudopréfixe.
Dans le pire des cas, cela pourrait éventuellement entraîner une prise de contrôle complète de votre système, voire une attaque de ransomware. Mais comment les acteurs de la menace y parviennent-ils ? Comment des commandes malveillantes peuvent-elles être cachées derrière un code inoffensif ?
Cet exploit peut être réalisé en utilisant du JavaScript intelligemment conçu ou même du HTML de base. JavaScript possède un mécanisme appeléÉcouteur d'événements . Les événements sont des actions qui peuvent se produire dans le navigateur, comme cliquer sur un bouton, soumettre un formulaire, déplacer la souris, appuyer sur une touche ou redimensionner la fenêtre.
LeÉcouteur d'événements , comme son nom l'indique, permet à votre application Web de réagir à certains événements déclenchés par l'action de l'utilisateur. Les pages Web malveillantes exploitent ce mécanisme légitime et utile en capturant l'événement au cours duquel un utilisateur copie du texte et en remplaçant le texte inoffensif par un code malveillant.
Voici le principal code d'exploitation utilisé pour créer l'image de démonstration :
Voici une autre démo, qui ne nécessite aucun JavaScript et utilise du HTML Vanilla :
Cela crée un texte blanc invisible, masquant efficacement la commande malveillante "rm -rf /" et le
La balise crée un saut de ligne afin que certains terminaux exécutent immédiatement le code après le coller. Vous pourriez penser qu’une solide maîtrise des compétences en programmation et en développement Web est nécessaire pour mener à bien cette attaque, mais en réalité, c’est assez simple.
Même si un attaquant n'a aucune connaissance en JavaScript ou en développement Web, il peut facilement créer des logiciels malveillants à l'aide de ChatGPT. Avec les bonnes invites, on peut facilement jailbreaker ChatGPT et lui faire créer des pages Web malveillantes qui utilisent cette astuce.
Il n’existe aucun moyen concret de vous protéger contre les attaques de code malveillant. Bien sûr, vous pouvez interdire JavaScript pour les sites suspects, mais, de par leur nature, ils ne vous permettront probablement pas de naviguer sans que JavaScript soit activé.
De plus, pour la méthode CSS (Cascading Style Sheets), il n'existe aucune défense concrète contre les commandes malveillantes puisqu'il s'agit toujours d'un code CSS valide (c'est-à-dire qu'il n'y a rien de mal à cela mais que l'intention est toujours malveillante). La meilleure façon de vous protéger serait simplement de suivre une hygiène de base sur Internet et de faire preuve de vigilance.
Ne visitez pas les liens inconnus et assurez-vous de toujours coller la commande que vous copiez depuis Internet dans un éditeur de texte avant de la coller dans le terminal. Tenez-vous-en à des ressources de code légitimes et réputées pour vous assurer que vous n’accueillez pas de code malveillant dans votre ligne de commande.
De plus, quelques terminaux, comme le terminal xfce4, sont pré-équipés d'une protection contre le copier-coller. Il affichera une fenêtre contextuelle qui vous indiquera exactement ce qui sera exécuté dès que vous collerez une commande dans votre terminal. Vérifiez si votre terminal dispose également d’un mécanisme similaire et activez-le.