Blog Attacks

L'attaque Polyfill[.]io - Bien plus qu'une simple attaque de redirection

La redirection n'était que ce qui a été attrapé. En contrôlant un seul script tiers sur un demi-million de sites, bien pire était possible. Voici pourquoi cela comptait.

Dec 06, 2024 • 6 min read

Simon Wijckmans Founder & CEO

Lorsque nous et les médias spécialisés avons signalé l'attaque Polyfill, les réactions ont été étonnamment modérées. Cela s'explique peut-être par le résultat visible : une simple redirection vers des sites obscurs. (Pour la chronologie complète, consultez notre chronologie complète de Polyfill.io.)

Mais, comme nous l'avons détaillé dans notre post-mortem, les conséquences potentielles sont bien plus graves :

« Ici, le mauvais acteur a choisi de ne rediriger les utilisateurs que vers des sites pour adultes et de paris, mais il aurait pu se passer bien pire. Écouter les frappes clavier sur un faible pourcentage de sessions en fonction de la géolocalisation et de l'heure, injecter des logiciels malveillants, miner des cryptomonnaies ou réécrire des boutons sur des sites pour rediriger vers des portails de paiement usurpés.

D'une simple redirection à la capture de données de carte bancaire, les attaques JavaScript côté client peuvent tout faire. L'attaque Polyfill aurait pu avoir un impact bien plus négatif — d'une certaine façon, nous avons eu de la chance. Que cela nous serve de rappel : nous devons surveiller nos scripts côté client. »

La réalité, c'est qu'il s'est probablement passé bien plus que ça.

Nouveaux éléments sur le transfert de domaine

Le domaine hébergeant le script a été vendu à une entreprise exploitée depuis la Chine appelée Funnull. Environ six semaines plus tard, les redirections ont commencé et l'incident a été reconnu comme une attaque. La société de sécurité Sansec a publié son analyse forensique de la charge utile de redirection. (La CVE-2024-38526 associée a été attribuée à pdoc, l'outil de documentation Python qui chargeait polyfill.io, et non à l'incident dans son ensemble.)

Récemment, une source non divulguée a révélé que le domaine polyfill[.]io — au cœur de l'attaque — avait été vendu pour une « somme qui change une vie ».

Le script Polyfill a été créé à l'origine par Andrew Betts et Jake Champion. Andrew Betts a publié un tweet (depuis supprimé) reconnaissant la vente et admettant qu'il n'avait aucune influence sur celle-ci.

Un autre utilisateur X, John Schulz, a découvert une annonce (depuis supprimée) de Funnull désignant Jake Champion comme la personne ayant transféré le domaine :

Took me a bit to find it, but here's the announcement pic.twitter.com/9sdSboOu7l
— John Schulz (@JFSIII) February 24, 2024

Un tweet désormais supprimé de Jake Champion confirme qu'il a personnellement transféré le domaine à Funnull.

Scénarios catastrophes possibles

L'attaque a été découverte parce que des utilisateurs étaient redirigés vers des sites pour adultes et de paris. Cependant, si le domaine a été vendu pour une « somme qui change une vie », il semble peu probable qu'il n'ait été utilisé que pour une exploitation aussi basique.

Pendant des semaines, cette attaque a touché un demi-million de sites web, dont Intuit, The Guardian, Hulu et The Verge.

Voici quelques scénarios catastrophes potentiels qui auraient pu être exécutés en prenant le contrôle d'un seul fichier JavaScript tiers.

Attaque DDoS

Les attaquants peuvent collecter les adresses IP des visiteurs sur un demi-million de sites web et exploiter leurs machines pour envoyer des requêtes vers n'importe quelle cible, créant ainsi l'une des plus grandes attaques DDoS jamais vues. Cela peut paralyser des institutions majeures, publiques comme privées, pendant des heures.

Attaque Workday

Les attaquants peuvent inciter des employés à partager leurs identifiants Workday, obtenant ainsi un accès non autorisé aux systèmes back-end ou en exfiltrant simplement leur jeton de session. Cela peut entraîner :

La manipulation des fiches de paie
Le vol de dossiers d'employés
L'accès à des données RH sensibles
… et bien plus encore

Réécriture du contenu d'une page web

Sur des sites d'information infectés, les attaquants peuvent réécrire le contenu pour :

Provoquer des réactions ou de la panique
Manipuler l'opinion publique
Modifier les récits sur des sujets controversés
… et bien plus encore

Capture de données personnelles et de coordonnées bancaires

Les attaques côté client récoltent souvent des informations personnellement identifiables (PII) et des données de paiement. Avec plus d'un demi-million de sites affectés, dont beaucoup disposent de formulaires de paiement, les attaquants peuvent dérober des données bancaires à grande échelle.

Infection d'autres sites web

Un site infecté peut héberger des scripts malveillants, permettant à l'attaque de se propager. Cette tactique complique les efforts de détection et de confinement. Cette technique est couramment utilisée dans les compromissions côté client, comme on l'a vu avec Schrwaa[.].com (lien sécurisé vers un article).

Minage de cryptomonnaies dans le navigateur

Le cryptojacking — forcer les navigateurs des utilisateurs à miner des cryptomonnaies — est une tactique bien documentée. Si elle est exécutée sur un demi-million de sites à fort trafic, les attaquants peuvent tirer d'immenses profits des millions de visiteurs quotidiens. Consultez les attaques BrowseAloud et Copay event-stream pour voir des exemples récents.

Un scénario cumulatif

Il est essentiel de souligner que ces scénarios ne sont pas isolés — ils peuvent se produire simultanément. Les redirections ont déjà eu lieu, mais les autres scénarios ont peut-être également été actifs.

Sans surveillance côté client, il est impossible de le savoir.

Pour être précis sur les preuves : la seule charge utile que les chercheurs ont capturée et décodée était la redirection. Une désobfuscation indépendante par SecureLayer7 n'a trouvé aucune preuve capturée de collecte d'identifiants, d'enregistrement des frappes clavier ou d'exfiltration de données personnelles, et la divulgation forensique de Sansec a documenté ce même comportement limité à la redirection. Les scénarios ci-dessus relèvent donc de la capacité, pas d'événements confirmés — mais comme le script était reconstruit à chaque requête, une variante de vol de données ciblé n'apparaîtrait jamais dans un scan public. Redirection : prouvée. Vol discret et ciblé : plausible par conception, jamais capturé.

C'est cette incertitude qui nous a poussés à créer cside. Même si nous ne pouvons pas voir chaque attaque à l'échelle mondiale, nous surveillons les scripts tiers sur votre site pour détecter et prévenir ce type d'attaques avant qu'elles ne nuisent à vos utilisateurs.

Espérons que la redirection était le pire de tout cela. Mais le fait que bien pire aurait pu se produire est une raison suffisante pour agir. En 2025, l'OFAC a sanctionné Funnull pour l'opération plus large derrière ce domaine, un rappel que les personnes qui le faisaient tourner n'étaient pas des amateurs. Protégez votre site en quelques secondes, gratuitement, en vous inscrivant dès aujourd'hui.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Le comportement qui a été capturé et décodé était une redirection vers des sites d'escroquerie et de paris. Une analyse indépendante de la charge utile récupérée n'a trouvé qu'une logique de redirection. Mais le service générait du code à chaque requête, donc une variante de vol de données ciblant des visiteurs précis ne pouvait pas être exclue et n'apparaîtrait pas dans les scans publics. Sans surveillance côté client, un propriétaire de site n'avait aucun moyen de savoir ce qui s'exécutait pour ses utilisateurs.

Un script first-party peut lire et réécrire tout ce qui se trouve sur la page qui le charge, y compris les formulaires, les cookies, les jetons de session et le contenu. En contrôlant un seul script sur environ un demi-million de sites, un opérateur pouvait tenter du formjacking, du vol d'identifiants, de la manipulation de contenu, du cryptojacking ou un DDoS à grande échelle. La politique de même origine le limite à chaque page sur laquelle il s'exécute, pas à vos autres onglets.

Le mainteneur Jake Champion a transféré le domaine polyfill.io et son dépôt à Funnull début 2024. Une source non divulguée a décrit la vente comme une somme qui change une vie, mais aucun chiffre confirmé n'a jamais été publié.

Les vérifications basées sur la source et les revues fournisseurs passent à côté du comportement au runtime. Le signal fiable est ce que les scripts chargent et font réellement dans le navigateur. La surveillance runtime signale les redirections, les nouveaux sous-scripts et les accès aux données inattendus lorsque de vrais utilisateurs chargent la page.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Conformité HIPAA et technologies de suivi web : le guide pour les établissements de santé

L'OCR du HHS a statué que les pixels de suivi et les scripts tiers sur les sites web de santé peuvent exposer des PHI. Ce que les entités couvertes doivent faire pour se conformer.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.

Comment Bloquer la Création de Faux Comptes Alimentée par l'IA

Les agents IA créent de faux comptes avec un comportement humain qui déjoue les CAPTCHA. Découvrez les signaux navigateur qui révèlent les inscriptions automatisées.