Hum, ça semble moche.
Si vous utilisez Chrome ou un dérivé de Chromium, faites bien attention à votre presse-papier, cet espace de stockage de votre ordinateur qui permet de faire du copier-coller. Il faut en effet savoir que n’importe quel site Web peut, à n’importe quel moment, modifier le contenu de votre presse-papier sans aucune action de votre part et sans que vous le sachiez. Il n’y a aucune alerte ni aucune demande de consentement.
Et vaste d’application
On pourrait imaginer un scénario dans lequel l’adresse d’un portefeuille de cryptomonnaie soit modifié, afin de détourner un transfert de fonds.
Et pas corrigé de suite.
Là où Chrome fait pire que les autres, c’est que depuis la version 104, l’accès en écriture n’est même plus lié à un geste de l’utilisateur. Il peut désormais se faire à tout moment. Ce bug résulte d’une incompatibilité avec un autre module logiciel. Il est prévu de le corriger, mais aucune date n’a été annoncé pour l’instant.
Une faille facile à tester
Pour tester l’effet de cette faille, il suffit d’aller sur le site
webplatform.news. Dès que la page est chargée, vous pourrez faire un copier-coller dans un document et constater que celui-ci contient le texte suivant :Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see https://github.com/w3c/clipboard-apis/issues/182.
La note de blog de Jeff Johnson permet également de tester cette faille. Il faut souligner que seul l’accès en écriture est concerné par cette alerte, pas l’accès en lecture. Pour lire le contenu d’un presse-papier, les sites Web doivent en demander explicitement le droit. Encore heureux.