Vulnérabilité du presse-papier sous Internet Explorer

Lundi 1er décembre 2003, par webmaster // Windows

Ah le copier-coller ! Qui aujourd’hui pourrait s’en passer ? Compatible avec la plupart des applications, l’utilisation du presse-papier est incontestablement très répandue et sa simplicité de mise en oeuvre en fait un des outils les plus pratiques du quotidien. Pourtant, l’article suivant risque de vous refroidir...

Petit rappel pour les novices, le copier-coller permet de "copier" (mémoriser) une portion de texte et de la "coller" où bon vous semble dans votre document, dans le but d’éviter une double saisie des informations redondantes. Cette fonctionnalité est présente dans la plupart des logiciels, mais il existe également des raccourcis clavier :

Copier : sélection du texte et Ctrl+C

Coller : Ctrl+V

Le contenu du copier-coller est alors mémorisé dans le "presse-papiers". Bien entendu, son contenu est modifié très fréquemment et les informations qu’on y trouve sont alors très aléatoires ! Certes... Mais ne vous est-il jamais arrivé d’utiliser le presse-papier pour y stocker vos logins, vos mots de passe, un numéro de téléphone, une adresse e-mail ? Oui ? Et bien tremblez !

Si vous utilisez Internet Explorer comme navigateur, sachez que ce dernier a par défaut la possibilité d’aller consulter le contenu de votre presse-papier voire même de le remplacer par une autre donnée... Il est alors très facile pour un site web de mettre en oeuvre un script permettant de récupérer le contenu de votre presse-papier (à votre insu) et de l’écrire par exemple dans un fichier !

Mise en oeuvre simplifiée (Javascript + php) :

En javascript, l’objet clipboardData admet 3 méthodes :

- clearData : permet d’effacer le contenu du presse-papier.

- getData : permet de récupérer le contenu du presse-papier.

- setData : permet d’initialiser le presse-papier avec une nouvelle donnée.

Le programme javascript va donc se charger de récupérer le contenu du presse-papier en faisant appel à la fonction clipboardData.getData puis il fera appel à un script .php qui lui se chargera d’écrire son contenu dans un fichier texte quelconque. Bien entendu, le site web pourra enrichir les informations issues du copier-coller en enregistrant par exemple l’adresse IP du poste ainsi que la date de visite...

Se protéger sous Internet Explorer :

Si vous utilisez Mozilla ou Opera comme navigateur, vous pouvez dormir tranquille. Si néanmoins vous tenez à utiliser Internet Explorer comme navigateur, voici la procédure à suivre pour empêcher l’utilisation de cette vulnérabilité :

Aller dans Outils/Options Internet, puis cliquer sur l’onglet "Sécurité". Cliquer sur "Personnaliser le niveau" et chercher la rubrique "Script/Permettre les opérations de collage via le script". Choisir "Demander" plutôt que "Activer"...

Si un script essaie d’exploiter cette fonctionnalité, Internet Explorer attendra votre autorisation pour le faire :

Votre vie privée est désormais à l’abri des regards indiscrets...

Conclusion :

Comme vous le voyez, il sagit en fait d’un détournement d’une fonctionnalité d’Internet Explorer plutôt que d’une véritable vulnérabilité. Néanmoins, la paramétrage par défaut offrant une véritable porte ouverte sur votre vie privée, je ne peux que vous recommander d’effectuer la modification avant de vous lancer dans la navigation de sites internet réputés "sensibles".