Si vous utilisez un navigateur basé sur Chromium, il est tout à fait possible pour un site web de glisser ce qu’il veut dans votre presse-papier.
Cette vulnérabilité, apparue dans la version 104, permet à des acteurs malveillants de nuire aux utilisateurs.
Il suffit d'ouvrir une page web
Lorsque vous copiez ou coupez du texte, celui-ci est stocké dans votre presse-papiers. Bien que certains systèmes d'exploitation offrent la possibilité d'en conserver un historique, le presse-papiers se limite souvent à un seul contenu.
L'insertion d'un nouvel élément dans le presse-papiers est limitée dans des navigateurs tels que Firefox et Safari. Ces derniers exigent un geste de l'utilisateur pour copier du texte, à savoir la sélection du contenu et l'utilisation d'une commande pour copier via un menu contextuel ou avec un raccourci comme Ctrl+C.
Aujourd'hui, des navigateurs basés sur Chromium, comme Chrome, n'ont plus cette restriction. Si vous voulez en faire l'expérience, il suffit de visiter le site Webplatform News : après avoir ouvert la page web, votre presse-papiers contiendra un message vous informant que votre navigateur peut altérer votre presse-papiers sans votre accord. Pour le vérifier, un « collage » dans un éditeur de texte suffit. Pour ceux qui ont activé l'historique du presse-papiers sur Windows 10 et 11, il est possible d'utiliser le raccourci Windows+V.
Une vulnérabilité qui n’est pas sans danger
Les risques de cette vulnérabilité sont tout d'abord d'ordre pratique : il n'y a rien de plus ennuyeux que de copier un texte et de le perdre en ouvrant innocemment une page web. Mais le risque peut être beaucoup plus sérieux. Malwerbytes Labs souligne en effet qu'un texte peut devenir une commande dans un Terminal. Il est aussi possible qu'un acteur malveillant cherche à insérer des informations d'identification bancaires ou une adresse bitcoin dans votre presse-papiers à votre insu.
Si vous voulez continuer à utiliser votre navigateur préféré même s'il est vulnérable, il est recommandé d'être prudent - par exemple en utilisant un éditeur de texte avant de copier toute information sensible. Bien que signalé, ce problème ne devrait pas être résolu immédiatement, puisque sa correction créerait des conflits avec d'autres fonctionnalités, comme (entre autres) les animations des Google doodles.
Source : Malwarebytes Labs
Geek hyper connecté et féru de podcasts, je suis toujours en train de lire ou écouter des points infos en tout genre. Entre histoire, tech, politique, musique, jeux-video et vulgarisation scientifique : toute l'actualité (ou presque) attise ma curiosité. Sinon, j'aime le rock et le lofi, les game-nights toujours trop longues, les bons films et les nanards.
Lire d'autres articles
