Discussion :

[Patrick Ruiz]

Si vous utilisez le code de Polyfill.io sur votre site comme des centaines de milliers d’autres développeurs, retirez-le à l’immédiat
Car ce domaine est en cours d’exploitation par des cybercriminels

De récents rapports de divers entreprises spécialisées en cybersécurité font état de ce que le domaine Polyfill.io est devenu la propriété d’une organisation chinoise en début d’année. Depuis lors, ce dernier est utilisé pour infecter des centaines de milliers de sites web avec du code malveillant. Les équipes de recherche recommandent de retirer à l’immédiat des sites web le code javascript qui dépend de ce dernier.

Le site proposait des polyfills, c'est-à-dire des bouts de code JavaScript utiles qui ajoutent aux anciens navigateurs des fonctionnalités intégrées dans les versions plus récentes. Ces derniers facilitent la vie des développeurs, car en utilisant des polyfillers, ils savent que leur code web fonctionnera sur un plus grand nombre de navigateurs. Les récents rapports font état de ce que polyfill.io diffuse désormais du code suspect caché dans ces scripts, ce qui signifie que toute personne visitant un site web utilisant ce domaine se retrouvera à exécuter des éléments potentiellement dangereux dans son navigateur.

Hats off to @renchap who originally called out the soon-to-unfold catastrophy of the JavaScript polyfill library and website polyfill[.]io 👏

parts of the polyfill malware code: pic.twitter.com/7tgDvsNARm

— Liran Tal (@liran_tal) June 27, 2024

Google a commencé à bloquer les publicités pour les sites web qui utilisent le code à problème, vraisemblablement pour réduire le trafic vers ces sites et le nombre de victimes potentielles. Les propriétaires des sites concernés ont également été alertés par le géant de l'internet.

« Nous avons récemment détecté un problème de sécurité susceptible d'affecter les sites web utilisant certaines bibliothèques tierces », a déclaré un porte-parole de Google. « Afin d'aider les annonceurs potentiellement concernés à sécuriser leurs sites web, nous avons partagé de manière proactive des informations sur la manière d'atténuer rapidement le problème.

Les sites qui intègrent des scripts empoisonnés provenant de polyfill.io et aussi de bootcss.com peuvent finir par rediriger inopinément les visiteurs loin de l'emplacement prévu, et les envoyer vers des sites indésirables », a indiqué Google aux annonceurs.

Google is now sending a warning about loading 3rd party JS from domains like polyfill.io bootcss.com bootcdn.net & staticfile.org that may do nasty things to your users if your site uses JS from these domains. pic.twitter.com/EUVAgbFXJn

— Michal Špaček (@spazef0rze) June 25, 2024

Plus de 100 000 sites web contiennent déjà ces scripts hostiles, selon l'équipe d'experts en sécurité de Sansec, qui a affirmé que Funnull, un opérateur CDN présumé chinois qui a acheté le domaine polyfill.io et le compte GitHub associé en février, a depuis utilisé le service dans une attaque de la chaîne d'approvisionnement.


Polyfill.io est utilisé par la bibliothèque universitaire JSTOR ainsi que par Intuit, le Forum économique mondial et bien d'autres encore.

Depuis février, « ce domaine a été surpris en train d'injecter des logiciels malveillants sur des appareils mobiles via n'importe quel site qui intègre cdn.polyfill.io », a averti Sansec qui a ajouté toute plainte concernant l'activité malveillante disparaissait rapidement du dépôt GitHub.

« Le code polyfill est généré de manière dynamique sur la base des en-têtes HTTP, de sorte que de multiples vecteurs d'attaque sont probables », a noté Sansec, ajoutant que le code peut, par exemple, rediriger les utilisateurs mobiles vers un site de paris sportifs utilisant un faux domaine Google Analytics.

En fait, Andrew Betts, qui a créé le projet open source Polyfill au milieu des années 2010, a déclaré plus tôt cette année qu'il ne fallait pas utiliser polyfill.io du tout. En février, il a déclaré qu'il n'avait rien à voir avec le transfert du nom de domaine et du compte GitHub vers le mystérieux acheteur chinois et a invité tout le monde à supprimer son code de leurs pages web par précaution à la suite du changement de propriétaire.

Et vous ?

Quelles approches de développement des sites web mettez-vous à contribution pour éviter de vous retrouver dans de tels cas de figure ?

Voir aussi :

Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript

Sept nouvelles variantes de Meltdown et Spectre ont été découvertes par des chercheurs en sécurité Intel ne se montre pas inquiet

Bogues critiques touchant les CPU modernes : Google a informé Intel depuis des mois et confirmé qu'ils affectent plus Intel et ARM qu'AMD

Firefox 58 officiellement disponible avec des gains de performance la version Android embarque le support des applications Web progressives et FLAC

[Fagus]

Quelles approches de développement des sites web mettez-vous à contribution pour éviter de vous retrouver dans de tels cas de figure ?

J'ai et j'ai eu quelques sites non pro et une webapp. Quand j'intègre un script externe, je le télécharge, je le parcours vite fait pour chercher du code suspect mal caché comme celui montré, je le teste, je l'intègre sur mon serveur avec un remerciement dans le code.

Je ne suis pas très convaincu par le chargement depuis un domaine externe. Que se passe-t-il si le domaine externe tombe, rame, est corrompu ? si le code comporte une régression ou change le nom de ses interfaces ? Alors qu'une version pas à jour, au pire elle fonctionne toutes choses égales par ailleurs.

[chrtophe]

Existe t'il un outil automatiques pour scanner la présence de polyfil.io sur plusieurs sites ?