Résumé

Le 25 juin 2024, l’éditeur Sansec indique que des redirections malveillantes sont déployées par la bibliothèque polyfill.js. Cette dernière est employée par plusieurs centaines de milliers de sites à travers le monde et permet à des sites web de supporter des navigateurs obsolètes comme Internet Explorer 6.

L’intégration de ladite bibliothèque s’effectue via le référencement de l’URL "cdn[.]polyfill[.].io".

En février 2024, la bibliothèque et le domaine "polyfill[.]io" ont été rachetés par l'entreprise chinoise Funnull. Par la suite des modifications du code de polyfill.js permettant la redirection des utilisateurs vers des sites de paris en ligne et de pornographie ont été observées. Il a également été constaté que l’entreprise a souhaité masquer ces modifications en supprimant les commentaires et les plaintes y faisant référence au niveau du projet Github.

En réaction à ses modifications, le bureau d'enregistrement Namecheap a suspendu le nom de domaine polyfill[.]io le 26 juin 2024. Ce dernier et les sous-domaines ne sont donc plus accessibles. L’import de la bibliothèque et les fonctionnalités associées (support de navigateur anciens) sont donc actuellement désactivés.

Solution

Par précaution, le CERT-FR recommande donc de supprimer toute utilisation de la bibliothèque polyfill.io. De plus, Sansec met à disposition des indicateurs de compromission complémentaires. Note : Ces IOC n'ont pas été qualifiés par le CERT-FR.  

Par ailleurs, le CERT-FR recommande d’appliquer les bonnes pratiques suivantes :

  • Suivre les recommandations pour la mise en oeuvre d'un site web présentées dans le guide ANSSI-PA-009 [1]
  • Mettre en oeuvre le contrôle de l'intégrité des contenus tiers via le mécanisme Subresource Integrity [2] et de s'assurer de l'inoccuité de ces contenus
  • Mettre en oeuvre une stratégie de restriction des ressources accessibles au travers de listes d'autorisations Content Security Policy (CSP)

Documentation

 

Rappel des publications émises

Dans la période du 01 juillet 2024 au 07 juillet 2024, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :