Discussion :

[Malick]

Attention : vérifiez les codes que vous copiez sur internet avant de les coller sur votre terminal,
du code malveillant peut être caché

Avec le développement des technologies de l'information et de la communication, on assiste aujourd'hui à une prolifération des sites web, des forums, et des blogs. Au sein de ces sites et de ces blogs, de nombreux articles ou billets de blog relatifs à une multitude de langages sont hébergés et permettent aux internautes soit de s'autoformer sur un langage donné, soit de trouver des réponses à leurs questions. À côté des sites et des blogs, il y a les forums d'entraide auxquels les internautes, qu'ils soient informaticiens ou amateurs, ont recours pour résoudre certains problèmes ponctuels grâce à l'aide des membres bénévoles de la communauté.

Les demandeurs qui postent par exemple des messages sur les forums pour partager leur problème et recevoir de l'aide se voient souvent proposés des lignes de code écrites par d'autres membres bénévoles comme propositions de solution. Face à une difficulté également, un internaute peut consulter un article en ligne dans lequel sont fournis des éléments de réponse sur le problème rencontré. Cependant, force est de constater que la plupart du temps, ceux qui sont dans des difficultés récupèrent le code qu'ils trouvent dans les articles ou qu'ils reçoivent sur les forums et le collent aveuglément sur leur terminal pour ensuite procéder à son exécution. Cette pratique est considérée comme très dangereuse, et les internautes devraient arrêter de faire cela. Cette recommandation est faite par Suresh Alse, un étudiant en informatique à l'Université de Californie du Sud à Los Angeles et chercheur à l'institut des sciences de l'information.

Pour étayer ses dires et montrer aux internautes pourquoi il ne faut pas copier aveuglément les lignes de codes trouvées sur internet dans leur terminal et passer à leur exécution sans faire de vérifications, M. Suresh Alse propose une démonstration dans laquelle il met en évidence les risques encourus en adoptant une telle pratique. S'adressant aux internautes, il les invite à copier la ligne de code suivante et à la coller dans leur terminal (SFW) :

ls -lat

Ce code, une fois collé dans le terminal, devrait ressembler à quelque chose comme ceci :

« Comme vous l'avez probablement deviné, il y a un code malveillant entre ls et -lat et ce dernier est caché à l'utilisateur. La couleur du code malveillant est définie à celle de l'arrière-plan et sa taille de police est définie sur 0. Le code malveillant est également déplacé loin du reste du code et est rendu non sélectionnable. Le code fonctionne dans tous les OS possibles, quel que soit le navigateur à partir duquel il est copié. », a affirmé Suresh Alse.

Le code malveillant caché se présente comme suit :

Le chercheur Alse estime que cela pourrait être pire si l'extrait du code malveillant contenait par exemple la commande sudo. Rappelons que cette commande s'utilise en ligne de commande dans un terminal et permet par exemple d'exécuter, en mode superutilisateur, des commandes ou des applications en console. « [I]Ainsi, en intégrant la commande sudodans le code malveillant, un keylogger peut être silencieusement installé sur la machine cible ; les possibilités sont infinies. », a ajouté Suresh.

Terminant ainsi sa démonstration, Suresh Alse invite les internautes à s'assurer que les codes qu'ils récupèrent sur le net sont de source sûre avant de les coller sur leur terminal pour ensuite les exécuter.

Source : blog Suresh Alse

Et vous ?

Qu'en pensez-vous ?

[BufferBob]

ça pourrait même être bien pire encore, imaginez si vous surfez sur ce que vous pensez être un blog et qu'en fait c'est une page truffée de pièges par le blogger !!

oui sauf qu'en général on fait confiance au blogger, ou au site sur lequel on surf etc. difficile de changer de paradigme pour le coup
si mon blogger préféré fait ça sur son site il le fera 1 fois pas deux, déjà il prendra une plainte en bonne et due forme comme il est facile à identifier, et puis il perdra des visiteurs, désormais taggé comme pirate ou blogger craignos

le seul cas que j'envisage dans lequel ça pourrait véritablement poser un souci c'est si le pirate au lieu de défacer comme le fait un kikoolol habituellement insère du code pourri tout en laissant la page "propre" visuellement, mais dans ce cas pourquoi s'embêter avec cette astuce ? il y a bien plus direct...

bref, oui une taille de police égale à zéro c'est cocasse et ça peut être utilisé de manière malicieuse dans l'absolu, mais à moins de tomber sur un site sur lequel on fourni soit même le CSS et le HTML pour les autres internautes (lol ?) l'intérêt pratique de l'astuce pour le pirate est très limité à mon sens

[tchize_]

Attention Buffer Bob que:

un script malicieux bien fait ne se repèrera pas et laisserai croire que la commande s'est bien déroulée sans trace de problème
les bouts de code sont souvent sur des site en http, donc on pourrait imaginer une attaque type man in the middle pour ajouter la partie malveillante dans toutes les sections de <code> d'un forum



Ensuite, je trouve effectivement que c'est assez anectoditque, la plupart des gens y allant bien plus salement aujourd'hui. On trouve pas mal d'instruction d'installation d'outils en ligne de commande aujourd'hui qui on la forme d'un curl pipe:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

curl http://unsrveur/unproject/install.sh | sudo sh

Je vous laisse imaginer le monde de possibilité dans cette url pointe sur un fichier sur github ou un raccourcisseur d'url

[Jipété]

Salut,

S'adressant aux internautes, il les invite à copier la ligne de code suivante et à la coller dans leur terminal (SFW) :

ls -lat

Oui, enfin, si en collant cette ligne de 7 caractères dans mon terminal je vois s'inscrire un machin genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'

je vais sans doute y réfléchir à deux fois avant d'appuyer sur <ENTREE>.

Pas vous ?

[BufferBob]

on pourrait imaginer une attaque type man in the middle pour ajouter la partie malveillante dans toutes les sections de <code> d'un forum

oui admettons, mais ce que je voulais dire c'est que si on en est à mettre en place ce genre d'attaque on s'embêtera pas à cibler les balises <code> justement, y'a beaucoup plus direct et tout aussi furtif tout en ne requérant pas l'intervention de l'utilisateur

[disedorgue]

Bonjour,

Salut,

Oui, enfin, si en collant cette ligne de 7 caractères dans mon terminal je vois s'inscrire un machin genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'

je vais sans doute y réfléchir à deux fois avant d'appuyer sur <ENTREE>.

Pas vous ?

Je ne sais pas si tu as remarqué, mais lorsque la ligne s'affiche dans ton terminal, c'est déjà trop tard, car en fait tu copie/colle 2 lignes et celle-ci est la première...

[Shepard]

Salut,


Oui, enfin, si en collant cette ligne de 7 caractères dans mon terminal je vois s'inscrire un machin genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'

je vais sans doute y réfléchir à deux fois avant d'appuyer sur <ENTREE>.

Pas vous ?

Je sais pas sous Windows mais sous Linux un retour chariot dans le texte collé déclenche la commande. Donc seule la dernière ligne "; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'" ne sera pas éxécutée ^^

Par ailleurs chez moi ça ne fonctionne pas. Sélectionner le texte et faire clic du milieu dans un terminal ne colle que "ls -lat" (?)

Edit : OK, il faut absolument aller sur le site et pas juste copier la version de DVP, c'est assez logique que le BBCode ne supporte pas ça en fait ^^

Et du coup je confirme que les commandes sont envoyées automatiquement sur mon système (mais mon terminal me prévient tout de même du texte que je vais coller, du coup pas de soucis pour moi :-) )

[chrtophe]

L'image fournie vient d'un mac, reconnaissable aux icônes à gauche. Sur mac par défaut le terminal s'affiche en texte noir sur fond blanc, pas sous Linux ou ça va être plutôt texte blanc fond noir, je pense que c'est pour ça que Jipété voit le texte. D’ailleurs

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

color : #F3F5F6

correspond à du quasi-blanc (le fond d'écran par défaut doit être de cette couleur en fait).

Par ailleurs, une personne débutante lancerait le code même avec les symboles cachés.

Effectivement lancer du code que l'on ne maitrise pas en provenance d'Internet revient à confier les clés de sa maison à un inconnu. Encore plus avec un sudo.

[disedorgue]

@chrtophe: non, le texte est juste caché sur le site ou l'on fait le copier et ce que tu copies est la ligne que jipété montre + une 2éme ligne qui est ls -lat
Donc même un terminal linux ou autre unix sera confronté au problème car tu valide automatiquement la première ligne lors du coller et c'est celle-ci qui contient le code malicieux (montré par jipété).

Ici, l'exemple est montré avec un petit programme shell, mais rien n'empêche de faire pareil avec du code sql ou autre code dynamique (sans un passage obligé par un éditeur de texte).
D'ailleurs, cela permettrait aussi de créer des macro excel, word,... sans que l'utilisateur ne sans aperçoit.

Il se pourrait même que vim et emacs ne soit pas insensible à ce problème.

[chrtophe]

T'as raison Disedorgue, je ne mérite donc pas le +1.

J'ai fait le test tout simplement sous cmd et quel que soit la couleur le texte se copie.

Par ailleurs la ligne font-size :0px; du CSS suffit à cacher le code dans une page html.

Mais ce qui reste vrai c'est que copier du code qu'on ne maitrise pas dans un terminal donnera un résultat .. qu'on ne maitrise pas.

C'est du phishing adapté aux developpeurs.

[Jipété]

L'image fournie vient d'un mac, reconnaissable aux icônes à gauche. Sur mac par défaut le terminal s'affiche en texte noir sur fond blanc, pas sous Linux ou ça va être plutôt texte blanc fond noir, je pense que c'est pour ça que Jipété voit le texte.

Nan : j'ai vu le texte car je l'ai collé dans Leafpad (le bloc-notes de ma distro Debian) après l'avoir copié depuis le site, mais je n'allais pas le coller dans un terminal sans l'avoir étudié, et ce matin je n'avais pas du tout le temps.
Ce soir c'est mieux, alors

Je ne sais pas si tu as remarqué, mais lorsque la ligne s'affiche dans ton terminal, c'est déjà trop tard, car en fait tu copie/colle 2 lignes et celle-ci est la première...

ben nan, j'avions point lemalqué, la Marie,
J'ai copié/collé ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r';

et ça n'est pas allé plus loin que ça :

Pis ça reste en attente que moi j'appuie sur <ENTREE>...

[disedorgue]

Bizarre, personnellement, quand je copie exactement le ls -lat, dans mon clipboard, j'ai bien les 2 lignes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$ xsel --clipboard
ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'
ls -lat$

[Jipété]

Bizarre, personnellement, quand je copie exactement le ls -lat, dans mon clipboard, j'ai bien les 2 lignes:

Tu as raison, je n'ai pas été assez précis dans mon texte :

J'ai copié/collé ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r';

Il fallait lire
J'ai copié/collé juste cet extrait depuis la longue ligne que j'ai postée à 9 h 04

Toutes mes excuses pour ce manque de précision.

[LittleWhite]

Bonjour,

Ce sont des conseils qui doivent être répétés chaque année (ou chaque moi même).
Il y a plus de deux ans, c'était le joker qui était à la mode : http://securite.developpez.com/actu/...n-des-dangers/

Et puis, le conseil est valable même pour un rm -rf /* qu'un débutant pourrait copier sans comprendre

[agodfrin]

Intéressant et édifiant.

J'avoue qu'il m'arrive souvent de copier du texte exécutable shell depuis des pages web ... Les risques ne m'étaient pas venus à l'esprit ...

Dorénavant je vais toujours copier ce genre de texte d'abord dans un éditeur de texte quelconque avant de le copier en terminal.

[SCABFRA]

Arrêter de vous focaliser sur cet exemple de code, ce qui est important dans le cas présent c'est le procédé frauduleux!
un code malveillant au sain d'un exemple qui semble crédible.
En d'autres terme vérifier ce que vous copier car le code qui est proposé peut être plus "volumineux" que celui que vous visualisez.
Mais à priori vous ne savez pas, contrairement à l'exemple cité ce qui est malveillant et ce n'est pas forcément lors de son lancement que vous le verrez.

[Francois_C]

C'est un proof of concept sympa, en effet, même si ce code ne fait rien qu'un peu d'affichage et me rappelle un peu les snippets qu'on trouvait dans l'Ordinateur individuel des années 80
On peut l'exécuter sous Windows avec la console de msys.

[hotcryx]

Intéressant et édifiant.

J'avoue qu'il m'arrive souvent de copier du texte exécutable shell depuis des pages web ...

ATTENTION, s'il y a des instructions comme rm, chmod, chuser, chgrp
Ca pourrait virer tout un répertoire au lieu d'un fichier (voir plus) et même effacer home... ou changer les droits des users, des groupes et ne plus avoir accès à sa propre machine