Attention : vérifiez les codes que vous copiez sur internet avant de les coller sur votre terminal
Du code malveillant peut être caché

Le , par Malick SECK, Community Manager
Avec le développement des technologies de l'information et de la communication, on assiste aujourd'hui à une prolifération des sites web, des forums, et des blogs. Au sein de ces sites et de ces blogs, de nombreux articles ou billets de blog relatifs à une multitude de langages sont hébergés et permettent aux internautes soit de s'autoformer sur un langage donné, soit de trouver des réponses à leurs questions. À côté des sites et des blogs, il y a les forums d'entraide auxquels les internautes, qu'ils soient informaticiens ou amateurs, ont recours pour résoudre certains problèmes ponctuels grâce à l'aide des membres bénévoles de la communauté.

Les demandeurs qui postent par exemple des messages sur les forums pour partager leur problème et recevoir de l'aide se voient souvent proposés des lignes de code écrites par d'autres membres bénévoles comme propositions de solution. Face à une difficulté également, un internaute peut consulter un article en ligne dans lequel sont fournis des éléments de réponse sur le problème rencontré. Cependant, force est de constater que la plupart du temps, ceux qui sont dans des difficultés récupèrent le code qu'ils trouvent dans les articles ou qu'ils reçoivent sur les forums et le collent aveuglément sur leur terminal pour ensuite procéder à son exécution. Cette pratique est considérée comme très dangereuse, et les internautes devraient arrêter de faire cela. Cette recommandation est faite par Suresh Alse, un étudiant en informatique à l'Université de Californie du Sud à Los Angeles et chercheur à l'institut des sciences de l'information.

Pour étayer ses dires et montrer aux internautes pourquoi il ne faut pas copier aveuglément les lignes de codes trouvées sur internet dans leur terminal et passer à leur exécution sans faire de vérifications, M. Suresh Alse propose une démonstration dans laquelle il met en évidence les risques encourus en adoptant une telle pratique. S'adressant aux internautes, il les invite à copier la ligne de code suivante et à la coller dans leur terminal (SFW) :

ls -lat

Ce code, une fois collé dans le terminal, devrait ressembler à quelque chose comme ceci :


« Comme vous l'avez probablement deviné, il y a un code malveillant entre ls et -lat et ce dernier est caché à l'utilisateur. La couleur du code malveillant est définie à celle de l'arrière-plan et sa taille de police est définie sur 0. Le code malveillant est également déplacé loin du reste du code et est rendu non sélectionnable. Le code fonctionne dans tous les OS possibles, quel que soit le navigateur à partir duquel il est copié. », a affirmé Suresh Alse.

Le code malveillant caché se présente comme suit :



Le chercheur Alse estime que cela pourrait être pire si l'extrait du code malveillant contenait par exemple la commande sudo. Rappelons que cette commande s'utilise en ligne de commande dans un terminal et permet par exemple d'exécuter, en mode superutilisateur, des commandes ou des applications en console. « [I]Ainsi, en intégrant la commande sudodans le code malveillant, un keylogger peut être silencieusement installé sur la machine cible ; les possibilités sont infinies. », a ajouté Suresh.

Terminant ainsi sa démonstration, Suresh Alse invite les internautes à s'assurer que les codes qu'ils récupèrent sur le net sont de source sûre avant de les coller sur leur terminal pour ensuite les exécuter.

Source : blog Suresh Alse

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 27/01/2017 à 8:21
ça pourrait même être bien pire encore, imaginez si vous surfez sur ce que vous pensez être un blog et qu'en fait c'est une page truffée de pièges par le blogger !!

oui sauf qu'en général on fait confiance au blogger, ou au site sur lequel on surf etc. difficile de changer de paradigme pour le coup
si mon blogger préféré fait ça sur son site il le fera 1 fois pas deux, déjà il prendra une plainte en bonne et due forme comme il est facile à identifier, et puis il perdra des visiteurs, désormais taggé comme pirate ou blogger craignos

le seul cas que j'envisage dans lequel ça pourrait véritablement poser un souci c'est si le pirate au lieu de défacer comme le fait un kikoolol habituellement insère du code pourri tout en laissant la page "propre" visuellement, mais dans ce cas pourquoi s'embêter avec cette astuce ? il y a bien plus direct...

bref, oui une taille de police égale à zéro c'est cocasse et ça peut être utilisé de manière malicieuse dans l'absolu, mais à moins de tomber sur un site sur lequel on fourni soit même le CSS et le HTML pour les autres internautes (lol ?) l'intérêt pratique de l'astuce pour le pirate est très limité à mon sens
Avatar de tchize_ tchize_ - Expert éminent sénior https://www.developpez.com
le 27/01/2017 à 8:46
Attention Buffer Bob que:

un script malicieux bien fait ne se repèrera pas et laisserai croire que la commande s'est bien déroulée sans trace de problème
les bouts de code sont souvent sur des site en http, donc on pourrait imaginer une attaque type man in the middle pour ajouter la partie malveillante dans toutes les sections de <code> d'un forum

Ensuite, je trouve effectivement que c'est assez anectoditque, la plupart des gens y allant bien plus salement aujourd'hui. On trouve pas mal d'instruction d'installation d'outils en ligne de commande aujourd'hui qui on la forme d'un curl pipe:

Code : Sélectionner tout
curl http://unsrveur/unproject/install.sh | sudo sh
Je vous laisse imaginer le monde de possibilité dans cette url pointe sur un fichier sur github ou un raccourcisseur d'url
Avatar de Jipété Jipété - Expert éminent https://www.developpez.com
le 27/01/2017 à 9:04
Salut,
Citation Envoyé par Malick SECK Voir le message
S'adressant aux internautes, il les invite à copier la ligne de code suivante et à la coller dans leur terminal (SFW) :

ls -lat
Oui, enfin, si en collant cette ligne de 7 caractères dans mon terminal je vois s'inscrire un machin genre
Code : Sélectionner tout
 ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'
je vais sans doute y réfléchir à deux fois avant d'appuyer sur <ENTREE>.

Pas vous ?
Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 27/01/2017 à 9:05
Citation Envoyé par tchize_ Voir le message
on pourrait imaginer une attaque type man in the middle pour ajouter la partie malveillante dans toutes les sections de <code> d'un forum
oui admettons, mais ce que je voulais dire c'est que si on en est à mettre en place ce genre d'attaque on s'embêtera pas à cibler les balises <code> justement, y'a beaucoup plus direct et tout aussi furtif tout en ne requérant pas l'intervention de l'utilisateur
Avatar de disedorgue disedorgue - Expert éminent https://www.developpez.com
le 27/01/2017 à 11:48
Bonjour,
Citation Envoyé par Jipété Voir le message
Salut,

Oui, enfin, si en collant cette ligne de 7 caractères dans mon terminal je vois s'inscrire un machin genre
Code : Sélectionner tout
 ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'
je vais sans doute y réfléchir à deux fois avant d'appuyer sur <ENTREE>.

Pas vous ?
Je ne sais pas si tu as remarqué, mais lorsque la ligne s'affiche dans ton terminal, c'est déjà trop tard, car en fait tu copie/colle 2 lignes et celle-ci est la première...
Avatar de Shepard Shepard - Membre éclairé https://www.developpez.com
le 27/01/2017 à 11:57
Citation Envoyé par Jipété Voir le message
Salut,

Oui, enfin, si en collant cette ligne de 7 caractères dans mon terminal je vois s'inscrire un machin genre
Code : Sélectionner tout
 ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'
je vais sans doute y réfléchir à deux fois avant d'appuyer sur <ENTREE>.

Pas vous ?
Je sais pas sous Windows mais sous Linux un retour chariot dans le texte collé déclenche la commande. Donc seule la dernière ligne "; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'" ne sera pas éxécutée ^^

Par ailleurs chez moi ça ne fonctionne pas. Sélectionner le texte et faire clic du milieu dans un terminal ne colle que "ls -lat" (?)

Edit : OK, il faut absolument aller sur le site et pas juste copier la version de DVP, c'est assez logique que le BBCode ne supporte pas ça en fait ^^

Et du coup je confirme que les commandes sont envoyées automatiquement sur mon système (mais mon terminal me prévient tout de même du texte que je vais coller, du coup pas de soucis pour moi :-) )
Avatar de chrtophe chrtophe - Rédacteur/Modérateur https://www.developpez.com
le 27/01/2017 à 16:52
L'image fournie vient d'un mac, reconnaissable aux icônes à gauche. Sur mac par défaut le terminal s'affiche en texte noir sur fond blanc, pas sous Linux ou ça va être plutôt texte blanc fond noir, je pense que c'est pour ça que Jipété voit le texte. D’ailleurs
Code : Sélectionner tout
color : #F3F5F6
correspond à du quasi-blanc (le fond d'écran par défaut doit être de cette couleur en fait).

Par ailleurs, une personne débutante lancerait le code même avec les symboles cachés.

Effectivement lancer du code que l'on ne maitrise pas en provenance d'Internet revient à confier les clés de sa maison à un inconnu. Encore plus avec un sudo.
Avatar de disedorgue disedorgue - Expert éminent https://www.developpez.com
le 27/01/2017 à 17:42
@chrtophe: non, le texte est juste caché sur le site ou l'on fait le copier et ce que tu copies est la ligne que jipété montre + une 2éme ligne qui est ls -lat
Donc même un terminal linux ou autre unix sera confronté au problème car tu valide automatiquement la première ligne lors du coller et c'est celle-ci qui contient le code malicieux (montré par jipété).

Ici, l'exemple est montré avec un petit programme shell, mais rien n'empêche de faire pareil avec du code sql ou autre code dynamique (sans un passage obligé par un éditeur de texte).
D'ailleurs, cela permettrait aussi de créer des macro excel, word,... sans que l'utilisateur ne sans aperçoit.

Il se pourrait même que vim et emacs ne soit pas insensible à ce problème.
Avatar de chrtophe chrtophe - Rédacteur/Modérateur https://www.developpez.com
le 27/01/2017 à 18:07
T'as raison Disedorgue, je ne mérite donc pas le +1.

J'ai fait le test tout simplement sous cmd et quel que soit la couleur le texte se copie.

Par ailleurs la ligne font-size :0px; du CSS suffit à cacher le code dans une page html.

Mais ce qui reste vrai c'est que copier du code qu'on ne maitrise pas dans un terminal donnera un résultat .. qu'on ne maitrise pas.

C'est du phishing adapté aux developpeurs.
Avatar de Jipété Jipété - Expert éminent https://www.developpez.com
le 27/01/2017 à 18:09
Citation Envoyé par chrtophe Voir le message
L'image fournie vient d'un mac, reconnaissable aux icônes à gauche. Sur mac par défaut le terminal s'affiche en texte noir sur fond blanc, pas sous Linux ou ça va être plutôt texte blanc fond noir, je pense que c'est pour ça que Jipété voit le texte.
Nan : j'ai vu le texte car je l'ai collé dans Leafpad (le bloc-notes de ma distro Debian) après l'avoir copié depuis le site, mais je n'allais pas le coller dans un terminal sans l'avoir étudié, et ce matin je n'avais pas du tout le temps.
Ce soir c'est mieux, alors
Citation Envoyé par disedorgue Voir le message
Je ne sais pas si tu as remarqué, mais lorsque la ligne s'affiche dans ton terminal, c'est déjà trop tard, car en fait tu copie/colle 2 lignes et celle-ci est la première...
ben nan, j'avions point lemalqué, la Marie,
J'ai copié/collé ça :
Code : Sélectionner tout
ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r';
et ça n'est pas allé plus loin que ça :

Pis ça reste en attente que moi j'appuie sur <ENTREE>...
Offres d'emploi IT
Ingénieur statisticien H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Ingénieur développement logiciel embarqué temps réel (model based) H/F
Safran - Ile de France - VILLAROCHE
Chef de projet technique H/F
Safran - Ile de France - Melun (77000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil