Via SebSauvage, un article (en anglais) expliquant ce qu'il peut se passer lorsqu'on copie des lignes de codes récupérées sur un site Internet : https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/. Qui ne l'a pas déjà fait, confiant⋅e que nous sommes en la nature humaine 😉 ?

C'est très bien fait, subtil et assez simple à mettre en œuvre (avec un retour à la ligne inclus qui fait que lorsqu'on colle la ligne, elle s'exécute automatiquement et qu'il ne reste plus qu'à pleurer). Ça passe par du code JavaScript s'exécutant sur la page web qui détecte la ligne copiée et la remplace dans le presse papier par une ligne malicieuse.
Page sur laquelle on peut tester l'entourloupe expliquée par Gabriel Friedlander (on colle pas dans son terminal ! 😁) : https://www.wizer-training.com/blog/copy-paste.

Du coup, avant de copier/coller du code :

  • on désactive le JS dans son navigateur avec une extension comme NoScript Security Suite,
  • ou on copie d'abord dans un éditeur de texte au lieu de le faire directement dans son terminal,
  • ou on ajoute dans le terminal, le signe de commentaire "#" avant de coller le code,
  • ou on configure son terminal (si c'est possible) afin de ne pas exécuter automatiquement la ligne lorsqu'on colle "\n" (instruction de retour à la ligne).

À bon⋅ne entendeur⋅euse, ...

Rajout : le problème n'arrive pas uniquement avec JavaScript car on pourrait avoir le même type "d'attaque" en copiant/collant du texte rendu invisible par formatage Html / CSS (même si c'est plus grossier et plus facilement détectable)...