Attaque de la chaîne d’approvisionnement contre Polyfill JS : plus de 10020 000 sites touchés

 (sansec.io)
8 points par GN⁺ 2024-06-26 | 3 commentaires | Partager sur WhatsApp
  • Polyfill.js est une bibliothèque open source destinée à prendre en charge les anciens navigateurs, utilisée sur plus de 10020 000 sites
  • En février de cette année, après qu’une entreprise chinoise a racheté le domaine et le compte GitHub de Polyfill.js, elle a commencé à injecter du code malveillant via ce domaine sur les appareils mobiles
  • Mise à jour du 25 juin : Google a déjà commencé à bloquer les annonces Google des sites e-commerce qui utilisent polyfill.io
  • Méthode d’attaque : du code généré dynamiquement à partir des en-têtes HTTP ne s’active qu’à certaines heures sur certains appareils mobiles, et retarde son exécution s’il détecte un utilisateur administrateur ou un service d’analyse web
  • Exemple de malware : redirige les utilisateurs mobiles vers un site de paris sportifs via un faux domaine Google Analytics (www. googie-anaiytics .com)
  • Mesures de réponse : l’auteur initial de Polyfill.js recommande de ne plus utiliser cette bibliothèque, car elle n’est plus nécessaire sur les navigateurs modernes ; Fastly et Cloudflare proposent des alternatives fiables
  • Cet incident est un exemple typique d’attaque de la chaîne d’approvisionnement
  • Outils supplémentaires : le service gratuit de surveillance CSP de Sansec, Sansec Watch, ainsi que le scanner backend eComscan prennent en charge la détection de Polyfill.io

L’avis de GN⁺

  • Le risque des attaques de la chaîne d’approvisionnement : c’est un cas qui montre bien les risques de sécurité pouvant survenir lorsqu’un projet open source est racheté. Plus une bibliothèque est utilisée sur de nombreux sites, plus l’impact potentiel peut être important.
  • Utiliser des bibliothèques alternatives : il est important d’utiliser des alternatives fiables comme celles de Fastly et Cloudflare. Si la prise en charge des navigateurs récents est suffisante, il peut aussi être pertinent d’envisager l’arrêt de l’utilisation de Polyfill.js.
  • La nécessité d’une surveillance de sécurité : il est important d’utiliser des outils de sécurité comme les services de surveillance CSP afin de suivre en temps réel les modifications de code.
  • Détection des administrateurs et exécution différée : le fait que le code malveillant détecte les administrateurs ou les services d’analyse puis retarde son exécution constitue une tentative de contournement des solutions de sécurité, qui nécessite des contre-mesures adaptées.
  • Formation et sensibilisation : il est important que les développeurs et les opérateurs prennent conscience des risques des attaques de la chaîne d’approvisionnement, et se tiennent à jour via des formations régulières en sécurité et les dernières tendances du domaine.

À lire aussi

3 commentaires

 
xguru 2024-06-30

Il est indiqué qu’il faut bloquer non seulement le domaine polyfill.io, mais aussi bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.macoms.la et newcrbpc.com.
 
humblebee 2024-06-26

https://fr.news.hada.io/topic?id=15118
Je suis ce sujet avec intérêt depuis qu’il a été abordé sur GN il y a environ un mois. Même si la cause du problème est éclaircie dans une certaine mesure, j’ai l’impression que la situation est telle que de nombreux sites resteront inévitablement exposés aux attaques pendant le temps nécessaire à la gestion de crise et aux mesures de suivi. J’ai aussi la crainte que la multiplication continue des incidents de sécurité et la pénurie de spécialistes en sécurité ne s’aggravent encore pendant un certain temps.
 
GN⁺ 2024-06-26
Avis Hacker News

  • Les risques liés à l’utilisation de CDN publics : utiliser un CDN public peut permettre l’injection de malware sur les appareils mobiles. On peut réduire ce risque avec le SRI (Subresource Integrity), mais la meilleure solution reste d’héberger directement via son propre service CDN.

  • Perspective de théorie des jeux : la maintenance des logiciels open source doit prendre en charge de nombreux sites sans compensation, ce qui peut finir par engendrer des problèmes de sécurité.

  • Contenus externes du Washington Post et de Fox News : les deux sites web incluent beaucoup de contenus externes, qui peuvent devenir des cibles d’attaque.

  • Prévision de Cloudflare : Cloudflare avait déjà anticipé ce type de problème et propose des solutions pour en atténuer les effets.

  • Avis du créateur du service Polyfill : il a créé le projet Polyfill Service mais ne possédait pas le nom de domaine ; le domaine actuel injecte désormais du malware. Il recommande d’arrêter immédiatement de l’utiliser.

  • Un problème prévisible : le problème était prévisible depuis quatre mois, et davantage de personnes auraient dû en prendre conscience et réagir.

  • Redirection vers des sites de paris sportifs : il arrive que des utilisateurs soient redirigés vers des sites qu’ils ne souhaitent pas visiter, ce qui peut néanmoins être efficace sur certains.

  • Manque de mention du SRI : il est surprenant que l’article ne mentionne pas le SRI. C’est une solution peu coûteuse et très efficace.

  • Conversation avec des développeurs : beaucoup de développeurs se montrent indifférents au détournement de CDN, ce qui peut créer des problèmes de sécurité.

  • Auto-hébergement recommandé : il est toujours préférable d’héberger soi-même ses dépendances, ce qui aide aussi à protéger la vie privée des utilisateurs.