Piraté en essayant de prouver qu’on n’est « pas un robot » sur un site recommandé par Gemini

 (mytory.net)
5 points par mytory 2026-05-06 | 7 commentaires | Partager sur WhatsApp
  • L’utilisateur s’est rendu sur un site recommandé au cours d’une conversation avec Gemini
  • En cliquant sur « Je ne suis pas un robot », une commande malveillante était copiée à l’avance dans le presse-papiers, puis le site indiquait d’ouvrir le terminal, de la coller et d’appuyer sur Entrée pour « vérifier » qu’il s’agissait bien d’un humain.
  • Une fois exécutée, elle télécharge et lance un script supplémentaire sous la forme curl | bash
  • Le script s’enregistre dans les LaunchAgents de macOS pour continuer à s’exécuter même après redémarrage ou reconnexion
  • Il récupère ensuite et exécute un AppleScript depuis un serveur distant, tout en collectant des informations et en tentant une élévation de privilèges

Dans ce cas :

  • L’élévation de privilèges a échoué car le mot de passe administrateur n’a pas été saisi
  • Mais un accès et une collecte partiels d’informations dans la limite des droits utilisateur ont malgré tout pu avoir lieu

Réponse :

  • Couper immédiatement le réseau
  • Supprimer le plist malveillant dans ~/Library/LaunchAgents
  • Arrêter les processus en cours d’exécution
  • Se déconnecter de toutes les sessions du navigateur puis se reconnecter (invalidation des cookies)
  • Remplacer les clés SSH

Leçon :

  • Il faut se méfier lorsqu’une page web demande d’exécuter une commande locale sous prétexte de « vérification » ou d’« authentification »
  • Il faut aussi se méfier des sites recommandés par une IA
  • En particulier, si l’on vous pousse à ouvrir un terminal, une fenêtre Exécuter ou PowerShell pour y coller quelque chose, c’est presque toujours ce schéma
  • Se méfier de toute demande de saisie du mot de passe administrateur est une habitude essentielle et la dernière ligne de défense

Pour l’analyse détaillée, les commandes réellement exécutées et la procédure de réponse, voir l’article original

https://mytory.net/archives/18591

À lire aussi

7 commentaires

 
dlehals2 2026-05-07

C’est une histoire similaire, mais un peu différente : à force d’utiliser Cursor longtemps, j’ai remarqué que la liste des commandes autorisées s’allongeait progressivement. À un moment, ça m’a soudain fait peur, donc j’ai tout supprimé sauf les plus basiques comme dir et echo. Pour info, c’est ici : Agent settings > Agents > Command Allowlist.
 
mytory 2026-05-07

C’est vrai. Ça m’inquiète un peu aussi.
Merci pour ces bonnes informations. ☺️
 
joyfui 2026-05-06

La méthode est classique, mais le site a l’air très crédible et bien réalisé.

Bref, comme la fenêtre ne pouvait pas être fermée, je me suis dit « je suis occupé pour l’instant, je la fermerai plus tard » et je l’ai poussée sur un côté de l’écran pour continuer à travailler.

Se faire pirater par flemme, puis éviter de gros dégâts grâce à cette même flemme… haha
 
mytory 2026-05-06

Haha, en l’entendant, ça se tient ! 😁
 
unsure4000 2026-05-06

C’est juste que… la méthode de piratage en elle-même est tellement classique que… je ne suis pas sûr que ça ait vraiment un rapport avec Gemini…
 
mytory 2026-05-06

Oui. Essentiellement, on peut aussi le voir ainsi.
 
djfxod 2026-05-06

C’est impressionnant que vous exécutiez tel quel ce qu’on vous demande de faire dans le terminal.