Récemment, plus de 490 000 sites web ont été ciblés dans une attaque de la chaîne d'approvisionnement web. (Censys a compté de façon indépendante 384 773 hôtes référençant encore le domaine au 2024-07-02.) Nous avons été les premiers à signaler l'ampleur réelle de l'attaque dans notre article d'origine. Pour l'histoire complète de 2024 à 2026, consultez notre chronologie et analyse complètes de Polyfill.io.
Quelques articles qui nous ont mentionnés incluent :
REMARQUE : Si un site web référence aujourd'hui les domaines polyfill[.]io bootcdn[.]net, bootcss[.]com, staticfile[.]net, staticfile[.]org et unionadjs[.]com, il est toujours exposé à cette attaque.
Qu'était le projet Polyfill service ?
Polyfill était à l'origine un projet open source permettant aux sites web d'utiliser des fonctionnalités JavaScript modernes dans des navigateurs plus anciens comme Internet Explorer. Cela était nécessaire lorsque la communauté en ligne est progressivement passée à des frameworks de navigateur plus modernes.
Bien que largement inutile car le trafic d'Internet Explorer est devenu négligeable, des milliers de sites web référencent toujours ce domaine.
Créé en octobre 2014, Polyfill a reçu des mises à jour régulières. En février 2024, le contributeur Andrew Betts (@triblondon sur X) a averti la communauté lorsque le domaine polyfill[.]io a été acquis par une entreprise chinoise auprès de ses propriétaires d'origine :
Si votre site web utilise
, supprimez-le IMMÉDIATEMENT.
J'ai créé le projet polyfill service mais je n'ai jamais possédé le nom de domaine et je n'ai eu aucune influence sur sa vente.
— Andrew Betts (@triblondon)
Comment Polyfill[.]io a facilité une attaque de la chaîne d'approvisionnement web
Les domaines utilisés pour servir des scripts tiers populaires constituent une préoccupation majeure en matière de sécurité, car ils peuvent changer dynamiquement sans en informer personne ni quoi que ce soit. Cela inclut la diffusion de scripts totalement différents en fonction de votre navigateur, User-Agent, géolocalisation, IP ou tout autre vecteur. Ils ont carte blanche sur ce qu'ils servent à qui, sur quelle base.
Polyfill[.]io et Polyfill[.]com ont été achetés par une entreprise chinoise appelée Funnull.
Après cette vente et le post X d'Andrew, le contributeur Github « renchap » fournit un contexte supplémentaire concernant la transaction :
« Polyfill[.i]o appartenait à l'équipe web du Financial Times, puis est passé sous gestion communautaire, et le dernier mainteneur a vendu le projet à une étrange entreprise chinoise de CDN, et ils l'ont déplacé de Fastly (la plateforme CDN / Edge compute exécutant le code OSS pour le service) et ont commencé à modifier les fichiers retournés. »
Le contributeur GitHub « munierujp » a mentionné que Jake Champion a décidé de transférer la propriété de Polyfill à Funnull :
Le lien qu'il référence a depuis été supprimé. Il n'y a pas non plus de page Internet Archive disponible.
Andrew Betts et Jake Champion, tous deux anciennement du Financial Times et propriétaires d'origine de Polyfill, travaillent maintenant chez Fastly.
D'autres membres de la communauté sur ce fil Github mentionnent que :
« Funnull est connu pour fournir des services aux industries des paris et de la pornographie. »
C'était une préface à ce qui s'est réellement passé suite à l'attaque.
Avant tout cela, Polyfill fonctionnait sur la plateforme edge compute de Fastly. Comme cela n'est pas disponible sur le cloud chinois, « renchap » sur Github a remarqué que polyfill[.]io avait maintenant un enregistrement CNAME vers polyfill[.]io.bsclink[.]cn.
Suite au changement de propriétaire suspect, Fastly a mis en place un miroir de la bibliothèque Polyfill comme domaine alternatif pour aider les gens à continuer d'utiliser le service, polyfill-fastly.io. Ils ont fourni cela quelques jours seulement après que la vente ait été communiquée.
Un jour après l'annonce de Fastly, Cloudflare a lancé un point de terminaison alternatif pour Polyfill[.]io sur CDNJS afin d'atténuer le risque d'attaque.
Ce n'est pas une solution parfaite à 100 %. Les vulnérabilités cndnjs de 2021 ont montré au monde que même les grands CDN JavaScript réputés peuvent souffrir de risques liés à la chaîne d'approvisionnement. Cela montre qu'on ne peut pas simplement faire confiance aux sources. Au lieu de cela, une surveillance continue devrait être utilisée pour détecter les anomalies. C'est en partie pourquoi cside a été fondé.
Que s'est-il passé lors de l'attaque Polyfill ?
Un fichier JavaScript altéré injecté par le domaine polyfill[.]io a redirigé un pourcentage d'utilisateurs vers des sites pour adultes et de paris en fonction de leur User-Agent. Un utilisateur japonais de X, « piyokango » a probablement été le premier à signaler cette attaque le 24 juin.
Le 25 juin, « Huli » a pu reproduire cette attaque et la signaler en anglais. Il est tombé sur un post GitHub de la veille, où un utilisateur nommé « alitonium » explique comment il l'a découverte.
Après avoir rempli certaines conditions, le fichier JavaScript altéré se révèle. Après décodage, il montre un faux lien Google Analytics googie-anaiytics[.]com/gtags.js. Remarquez comment ce domaine relève du typosquatting : la lettre i est utilisée à la place d'un l, à la fois dans « googie » et dans « anaiytics ». La société de sécurité Sansec a publié une analyse forensique complète de la charge utile. (La CVE-2024-38526 associée a été attribuée à pdoc, l'outil de documentation Python qui chargeait polyfill.io, et non à l'incident dans son ensemble.)
Ce domaine typosquatté redirige les utilisateurs vers divers sites de paris sportifs et pour adultes, apparemment en fonction de leur région. Voici l'un des sites web vers lesquels nous avons été redirigés :
Bien que cette attaque de la chaîne d'approvisionnement web n'ait à ce moment-là que redirigé les utilisateurs, une multitude de choses auraient pu se produire. Des attaques de point d'eau à la capture de détails de carte de crédit. Une attaque de point d'eau est un type d'attaque où les pirates ciblent un site web qu'un groupe spécifique de personnes visite souvent. Ils infectent le site avec des logiciels malveillants de sorte que lorsque les membres du groupe visitent le site, leurs ordinateurs sont infectés.
Parce que la plupart des mesures de sécurité courantes reposent uniquement sur la vérification des sources, des attaques comme celle-ci se produisent encore aujourd'hui. Comme cet exemple particulier l'a montré, les fournisseurs de flux de menaces n'ont pas répertorié le domaine polyfill[.]io comme malveillant avant plusieurs jours après les signalements. Il s'agit d'une approche expérience d'abord, réaction ensuite qui permet fondamentalement à des attaques comme celle-ci de continuer à se produire.
cside a été fondé spécifiquement pour remettre en question la dépendance aux flux de menaces, car le rythme des nouvelles méthodes d'attaque créatives est plus élevé que la vitesse à laquelle les flux de menaces les traitent. Cela est devenu clair récemment avec la crise de la National Vulnerability Database (NVD), où plus de 10 000 attaques connues attendaient dans un arriéré d'être examinées et traitées en Common Vulnerabilities and Exposures (CVE).
Dans l'exemple de Polyfill, notre moteur a pu détecter les polyfills injectés et les a empêchés de se produire. Il a protégé l'utilisateur et alerté le propriétaire du site web du code malveillant.
Alors que « Huli » du blog mentionné ci-dessus a publié sur le changement de comportement, nous avons commencé à rédiger notre propre rapport, qui a été mis en ligne peu après. Nous avons d'abord signalé qu'environ 110 000 sites web étaient affectés. Nous avons ensuite corrigé cela à l'estimation actuelle, qui est de plus de 490 000 sites web.
Révélant des marques importantes touchées comme le service de streaming Hulu appartenant à Disney, The Guardian, Intuit, et bien d'autres.
Nous avons remarqué que le site web Polyfill[.]io a ajouté un en-tête « Cloudflare Security Protection » à leur page d'accueil entre le 7 et le 8 mars. Cela nous a paru étrange à l'époque, ainsi qu'à d'autres dans la communauté. Un jour après notre rapport, Cloudflare a confirmé qu'ils n'avaient pas autorisé son utilisation.
Nous avons également observé que la redirection malveillante ne se produisait qu'une seule fois pour une IP. Cela a probablement été conçu pour contourner la détection aussi longtemps que possible.
Les conséquences
Le domaine Polyfill[.]io a été acheté via Namecheap. Pendant l'agitation, Namecheap a fermé le domaine comme l'a signalé MalwareHunterTeam sur X :
Mise à jour très importante/majeure : au cours de la dernière heure,
a finalement décidé de supprimer le domaine polyfill[.]io.
Pas de 👏 pour eux, pas du tout, car cela leur a pris beaucoup trop de temps, mais probablement un petit merci quand même pour l'avoir fait tard plutôt que jamais...
🤷♂️
— MalwareHunterTeam (@malwrhunterteam)
Le site est ensuite réapparu sur Polyfill[.]com, mais a depuis également été fermé.
Google a également réagi. Ils ont cessé de diffuser des annonces sur les sites web avec les scripts et ont fait pression sur les propriétaires de sites en supprimant leurs revenus publicitaires afin de les inciter à supprimer les scripts. Google a également envoyé des avertissements mentionnant quelques autres domaines, comme l'a remarqué Michal Špaček sur X :
Google envoie maintenant un avertissement concernant le chargement de JS tiers depuis des domaines comme polyfill.io bootcss.com bootcdn.net & staticfile.org qui peuvent faire des choses désagréables à vos utilisateurs si votre site utilise du JS de ces domaines.
— Michal Špaček (@spazef0rze)
Ce qui nous ramène à MalwareHunterTeam qui a fait plus de recherches. Ils ont mentionné que tous ces domaines sont gérés par le même groupe. Cela a été confirmé lorsqu'un token API Cloudflare et un ZoneID ont été divulgués sur GitHub.
Ces domaines incluaient Polyfill[.]io mais aussi bootcdn[.]net, bootcss[.]com, polyfill[.]io, staticfile[.]net, staticfile[.]org et unionadjs[.]com.
De plus, ils ont trouvé des preuves de code malveillant diffusé via ces domaines. Affectant des centaines de milliers de sites web.
Mise à jour importante sur la situation d'attaque de type chaîne d'approvisionnement polyfill[.]io.
Donc, lorsque Google a commencé à faire des avertissements que les annonces pour les pages/sites qui utilisent polyfill[.]io peuvent être suspendues, ils ont mentionné 3 autres domaines :
bootcss[.]com
bootcdn[.]net
staticfile[.]org
Mais d'une manière ou d'une autre tout le monde…
— MalwareHunterTeam (@malwrhunterteam)
Ces domaines n'étaient pas non plus répertoriés comme malveillants par les fournisseurs de flux de menaces. Même si certains de ces domaines diffusent des attaques de la chaîne d'approvisionnement depuis juin 2023. C'est plus d'un an d'attaques non détectées.
Donc, je m'attendais à ce que les attaques de type chaîne d'approvisionnement utilisant ces services/domaines remontent à l'année dernière, mais seulement maintenant confirmé grâce à
(
) que cela remonte au moins à juin dernier, donc un peu plus d'un an…
— MalwareHunterTeam (@malwrhunterteam)
cside n'existait pas pour les détecter à l'époque.
Dans une tentative de sauver la face, un compte X nommé Polyfill a commencé à accuser Cloudflare, les médias et d'autres de diffamation. Le compte a été créé en février 2024, probablement au moment où la vente du domaine a eu lieu.
Quelqu'un nous a malicieusement diffamés. Nous n'avons aucun risque lié à la chaîne d'approvisionnement car tout le contenu est mis en cache de manière statique. Toute implication de tiers pourrait introduire des risques potentiels pour votre site web,
mais personne ne ferait cela car cela mettrait en péril notre propre réputation.
Nous avons déjà…— Polyfill (@Polyfill_Global)
Le 30 juin, l'acteur malveillant a tenté de remettre son site en ligne sur polyfill[.]site. Il a depuis été supprimé.
Le 1er juillet, ils sont revenus et ont remis leur produit en ligne. Cette fois sous polyfillcache[.]com. Nous nous attendons à ce que cela soit à nouveau supprimé bientôt.
Les enseignements
Cette attaque souligne le risque étendu des scripts tiers. Une fois intégrés sur des milliers de sites web, ils deviennent des cibles de choix pour les acteurs malveillants. Avec quelques lignes de code, ces sites web et des millions de visiteurs sont en danger. Il s'agit d'une zone sensible de la chaîne d'approvisionnement web, pourtant les outils pour surveiller la surface d'attaque sont en retard et sont rarement utilisés.
cside a été créé pour empêcher que cela se produise. Notre script, qui se charge en premier, force tous les autres à passer par notre proxy. Là, nous vérifions le code complet pour tout élément malveillant sur la base de plus de 60 paramètres. Si notre moteur de détection décide que ce n'est pas sûr, le script est bloqué. Nous optimisons également ces scripts pour lutter contre toute latence créée par le proxy, les rendant dans de nombreux cas plus rapides plutôt que plus lents.
Note de l'éditeur (2026) : ce paragraphe décrit l'architecture d'origine de cside en 2024. cside effectue désormais une surveillance complète des scripts côté client — un unique extrait de code JavaScript first-party qui observe ce que les scripts tiers font réellement dans le navigateur de vrais visiteurs, y compris les charges utiles conditionnelles, géolocalisées et déclenchées par horaire (comme celle-ci) qui présentent un code propre aux scanners et aux crawlers. Le proxy de distribution de scripts décrit ci-dessus a été retiré début 2026.
L'attaque Polyfill sert de rappel : les mesures de sécurité qui ne vérifient pas le code complet avant de le servir aux utilisateurs échoueront à détecter les nouvelles attaques et s'appuieront sur les détections par la communauté, mettant les sites web et les visiteurs en danger.
Ici, l'acteur malveillant a choisi de ne rediriger les utilisateurs que vers des sites pour adultes et de paris, cependant bien pire aurait pu se produire. Écouter les frappes au clavier dans un petit pourcentage de sessions en fonction de la géolocalisation et de l'heure de la journée, injecter des logiciels malveillants, miner de la cryptomonnaie ou réécrire des boutons sur des sites pour rediriger vers des portails de paiement usurpés. D'une simple redirection à la capture de détails de carte de crédit, les attaques JavaScript côté client peuvent tout faire. L'attaque Polyfill aurait pu avoir un impact beaucoup plus négatif, d'une certaine manière nous avons eu de la chance. Que cela soit le rappel, nous devons surveiller nos scripts côté client. Nous développons pourquoi il s'agissait de bien plus qu'une simple attaque de redirection, et en 2025 la boucle a été bouclée lorsque l'OFAC a sanctionné Funnull, la société derrière le domaine.
Vous pouvez sécuriser votre site en quelques secondes avec cside. Notre niveau gratuit protège votre site contre cette attaque et d'autres similaires.
