Opera dégaine son Paste Protect pour détecter les attaques par presse-papier
Creepy Paste
Illustration : Flock
Le 06 juillet à 10h33
Opera a introduit une nouvelle fonction de protection dans son navigateur le 2 juillet. Baptisée Paste Protect, elle veut sécuriser la navigation face aux copies masquées d’instructions dans le presse-papier de l’appareil en vue d’exécuter un script malveillant.
Opera dégaine son Paste Protect pour détecter les attaques par presse-papier
Creepy Paste
Illustration : Flock
Opera a introduit une nouvelle fonction de protection dans son navigateur le 2 juillet. Baptisée Paste Protect, elle veut sécuriser la navigation face aux copies masquées d’instructions dans le presse-papier de l’appareil en vue d’exécuter un script malveillant.
Sécurité
Sécurité
5 min
La fonctionnalité Paste Protect, tout juste introduite par Opera, est un mécanisme de sécurité conçu pour bloquer à la source les attaques dites « ClickFix ». Cette menace repose sur l’ingénierie sociale et le détournement du presse-papiers du système d’exploitation pour forcer l’exécution de code malveillant.
D’un simple lien au script malveillant ?
Mais qu’est-ce qu’une attaque ClickFix ? Une attaque qui n’exploite pas une faille de sécurité, mais bien la « crédulité » de l’internaute, en faisant appel – comme souvent – à ses émotions.
Elle manipule l’utilisateur pour qu’il devienne lui-même l’exécuteur de la charge utile (payload). Lorsqu’un internaute navigue sur un site web compromis ou frauduleux, une fausse invite s’affiche. Elle simule généralement une page de vérification CAPTCHA familière (vérification Cloudflare, Google reCAPTCHA…), un problème de lecture vidéo, une erreur de certificat système ou tout message pouvant faire « peur » et invitant à une action rapide.
Pour résoudre ce prétendu problème, le site invite l’internaute à cliquer sur un bouton pour copier une « clé de vérification » ou un correctif, puis à ouvrir la boîte de dialogue Exécuter de Windows (Win + R) ou un Terminal (sous macOS/Linux) pour y coller l’élément. En réalité, le clic déclenche une écriture masquée dans le presse-papiers contenant un script malveillant (souvent du PowerShell ou des commandes curl/msiexec fortement obscurcies). Dès que l’utilisateur valide le collage dans sa console, les commandes s’exécutent avec ses propres privilèges système, ce qui permet de contourner les solutions de détection traditionnelles (de type antivirus, solution de réponse aux points de terminaison…) et de déployer des logiciels malveillants de type infostealer (voleur d’informations).
Le détournement du presse-papiers via ClickFix est devenu l’un des vecteurs d’attaque par ingénierie sociale à la croissance la plus rapide dans l’écosystème cyber. D’après un rapport publié par l’éditeur de cybersécurité Huntress, les techniques basées sur le ClickFix représentaient plus de 53 % de l’ensemble de l’activité liée aux chargeurs de malwares (malware loaders) recensée sur l’année 2025. Cette explosion s’explique par l’efficacité de la ruse, l’absence de surveillance du presse-papiers par les outils de sécurité classiques, et le fait que la victime réalise elle-même l’action malveillante.
Ce que propose Opera
L’approche d’Opera consiste à intercepter la menace avant que la charge utile n’atteigne le presse-papiers du système d’exploitation. Paste Protect combine principalement deux briques logicielles : la Hijack Protection (introduite en 2021 pour empêcher le remplacement transparent de données sensibles comme des IBAN ou des adresses de portefeuilles de cryptomonnaies) et la nouvelle Injection Protection.
Cette dernière surveille en temps réel les événements d’écriture du presse-papiers initiés par les sites web ou des processus tiers. Elle utilise des règles heuristiques spécifiques à chaque plateforme (Windows, macOS et Linux) pour identifier les structures syntaxiques typiques des scripts malveillants. Si une anomalie est détectée, la copie est automatiquement bloquée.
Le navigateur affiche alors un avertissement montrant les 120 premiers caractères du script intercepté. Il impose également un délai d’attente de 5 secondes avant de permettre à l’utilisateur d’outrepasser manuellement le blocage s’il s’agit d’un faux positif, par exemple dans un contexte de développement de logiciels. Une attaque que l’on retrouve dans de nombreuses protections sur le web.
On attend les autres
Opera est le premier grand navigateur du marché à intégrer une telle atténuation de manière native au sein de son moteur. Les navigateurs concurrents basés sur Chromium (comme Google Chrome, Microsoft Edge, Brave, Vivaldi) ainsi que Mozilla Firefox et Apple Safari ne disposent pas actuellement d’un équivalent natif pour analyser et bloquer l’injection de scripts en ligne de commande dans le presse-papiers.
En revanche, il existe des solutions tierces, comme celle proposée par Eye Security ou de nombreux autres éditeurs de cybersécurité. Le mécanisme passe le plus souvent par l’installation d’une extension pour le navigateur. Du côté des systèmes d’exploitation, on peut citer le cas d’Apple, qui a récemment intégré un système d’alerte au sein même de l’application Terminal sous macOS afin de détecter les collages risqués. Cette protection n’intervient cependant qu’en fin de chaîne (à l’exécution) et non à la source (à la copie dans le navigateur).
Maintenant qu’Opera a dégainé ce mécanisme, il est probable que les autres navigateurs suivront tôt ou tard.
Commentaires (0)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousSignaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?