Dylan Ayrey a découvert une méthode basée sur JavaScript pour modifier le contenu du presse papier de l’utilisateur lorsqu’il effectue un copier-coller. Elle permet notamment d’exécuter du code à son insu et il serait donc tout à fait possible d’utiliser cette technique pour semer la zizanie sur un ordinateur ou, pire, sur un serveur.
Le PastJacking, c’est le nom de cette merveilleuse technique, ne se limite pas à un système d’exploitation ou à une plateforme en particulier. C’est d’ailleurs ce qui rend la méthode aussi dangereuse.
Le PastJacking risque de coller des sueurs froides aux sysadmin.
En outre, tous les navigateurs sont logés à la même enseigne puisqu’elle se base sur du JavaScript.
Tous les navigateurs sont égaux face au PastJacking
Grâce à ce langage, une personne mal intentionnée peut en effet récupérer l’accès au contenu du presse-papier de l’utilisateur après qu’il ait copié un élément se trouvant sur une page infectée.
Elle peut ensuite remplacer le contenu copié par n’importe quelle commande de son choix, des commandes qui seront automatiquement exécutées si elles viennent à être collées dans la fenêtre d’un terminal ou d’un éditeur de texte compatible avec les macro.
Dylan propose plusieurs exemples sur son site.
Dans le premier cas, l’internaute est invité à copier une simple ligne de texte et à la coller ensuite dans son terminal. Mais voilà, le problème c’est que l’élément copié ne correspond pas du tout à l’élément affiché. Le second exemple est encore pire car il permet d’exécuter une macro-commande dans un éditeur de texte.
Le script développé par Dylan est d’ailleurs assez pernicieux car il est capable de récupérer le mot de passe de l’utilisateur lorsqu’il colle le contenu de son presse-papier dans Vim.
Si vous voulez vous protéger, il faudra désactiver JavaScript sur votre navigateur
Alors bien sûr, PastJacking ne vise pas l’internaute lambda, uniquement ceux qui sont amenés à jongler avec des scripts et avec des lignes de commande. Les développeurs et les sysadmin, en somme.
La seule solution pour se protéger de cette faille, c’est de désactiver le JavaScript dans le navigateur mais cela veut aussi dire que plus aucun site ne pourra exécuter des scripts. Pas terrible.
L’autre option, c’est de coller toutes les lignes de commande copiées dans un éditeur de texte basique comme Notepad ou même TextEdit avant de les utiliser. Ce n’est pas l’idéal, c’est vrai, mais c’est toujours mieux que de voir ses données ou celles de ses clients disparaître en un clin d’oeil.