Connexion Premium

Opera dégaine son Paste Protect pour détecter les attaques par presse-papier

Creepy Paste

Opera dégaine son Paste Protect pour détecter les attaques par presse-papier

Illustration : Flock

Opera a introduit une nouvelle fonction de protection dans son navigateur le 2 juillet. Baptisée Paste Protect, elle veut sécuriser la navigation face aux copies masquées d’instructions dans le presse-papier de l’appareil en vue d’exécuter un script malveillant.

La fonctionnalité Paste Protect, tout juste introduite par Opera, est un mécanisme de sécurité conçu pour bloquer à la source les attaques dites « ClickFix ». Cette menace repose sur l’ingénierie sociale et le détournement du presse-papiers du système d’exploitation pour forcer l’exécution de code malveillant.

D’un simple lien au script malveillant ?

Mais qu’est-ce qu’une attaque ClickFix ? Une attaque qui n’exploite pas une faille de sécurité, mais bien la « crédulité » de l’internaute, en faisant appel – comme souvent – à ses émotions.

Elle manipule l’utilisateur pour qu’il devienne lui-même l’exécuteur de la charge utile (payload). Lorsqu’un internaute navigue sur un site web compromis ou frauduleux, une fausse invite s’affiche. Elle simule généralement une page de vérification CAPTCHA familière (vérification Cloudflare, Google reCAPTCHA…), un problème de lecture vidéo, une erreur de certificat système ou tout message pouvant faire « peur » et invitant à une action rapide.

Source : Palo Alto Networks

Pour résoudre ce prétendu problème, le site invite l’internaute à cliquer sur un bouton pour copier une « clé de vérification » ou un correctif, puis à ouvrir la boîte de dialogue Exécuter de Windows (Win + R) ou un Terminal (sous macOS/Linux) pour y coller l’élément. En réalité, le clic déclenche une écriture masquée dans le presse-papiers contenant un script malveillant (souvent du PowerShell ou des commandes curl/msiexec fortement obscurcies). Dès que l’utilisateur valide le collage dans sa console, les commandes s’exécutent avec ses propres privilèges système, ce qui permet de contourner les solutions de détection traditionnelles (de type antivirus, solution de réponse aux points de terminaison…) et de déployer des logiciels malveillants de type infostealer (voleur d’informations).

Le détournement du presse-papiers via ClickFix est devenu l’un des vecteurs d’attaque par ingénierie sociale à la croissance la plus rapide dans l’écosystème cyber. D’après un rapport publié par l’éditeur de cybersécurité Huntress, les techniques basées sur le ClickFix représentaient plus de 53 % de l’ensemble de l’activité liée aux chargeurs de malwares (malware loaders) recensée sur l’année 2025. Cette explosion s’explique par l’efficacité de la ruse, l’absence de surveillance du presse-papiers par les outils de sécurité classiques, et le fait que la victime réalise elle-même l’action malveillante.

Ce que propose Opera

L’approche d’Opera consiste à intercepter la menace avant que la charge utile n’atteigne le presse-papiers du système d’exploitation. Paste Protect combine principalement deux briques logicielles : la Hijack Protection (introduite en 2021 pour empêcher le remplacement transparent de données sensibles comme des IBAN ou des adresses de portefeuilles de cryptomonnaies) et la nouvelle Injection Protection.

Cette dernière surveille en temps réel les événements d’écriture du presse-papiers initiés par les sites web ou des processus tiers. Elle utilise des règles heuristiques spécifiques à chaque plateforme (Windows, macOS et Linux) pour identifier les structures syntaxiques typiques des scripts malveillants. Si une anomalie est détectée, la copie est automatiquement bloquée.

Le navigateur affiche alors un avertissement montrant les 120 premiers caractères du script intercepté. Il impose également un délai d’attente de 5 secondes avant de permettre à l’utilisateur d’outrepasser manuellement le blocage s’il s’agit d’un faux positif, par exemple dans un contexte de développement de logiciels. Une attaque que l’on retrouve dans de nombreuses protections sur le web.

On attend les autres

Opera est le premier grand navigateur du marché à intégrer une telle atténuation de manière native au sein de son moteur. Les navigateurs concurrents basés sur Chromium (comme Google Chrome, Microsoft Edge, Brave, Vivaldi) ainsi que Mozilla Firefox et Apple Safari ne disposent pas actuellement d’un équivalent natif pour analyser et bloquer l’injection de scripts en ligne de commande dans le presse-papiers.

En revanche, il existe des solutions tierces, comme celle proposée par Eye Security ou de nombreux autres éditeurs de cybersécurité. Le mécanisme passe le plus souvent par l’installation d’une extension pour le navigateur. Du côté des systèmes d’exploitation, on peut citer le cas d’Apple, qui a récemment intégré un système d’alerte au sein même de l’application Terminal sous macOS afin de détecter les collages risqués. Cette protection n’intervient cependant qu’en fin de chaîne (à l’exécution) et non à la source (à la copie dans le navigateur).

Maintenant qu’Opera a dégainé ce mécanisme, il est probable que les autres navigateurs suivront tôt ou tard.

Commentaires (0)