polyfill.io

Point de compromission dans la chaîne Rupture · étape Distribution

Source

amont

Dépendances

deps

Build & CI

ci

Packaging

artefact

Release

provenance

Registres

Distribution

Déploiement

admission

Runtime

exécution

Rayon d'explosion — compromission à l'étape Distribution, propagation possible aux consommateurs. Domaines : Source, Intégration, Packaging, Release, Fournisseurs, Vulnérabilités

Gravité élevé

Le domaine polyfill.io racheté sert du code malveillant via le CDN à des centaines de milliers de sites qui l'incluaient.

100 000+

sites affectés

~4 %

du web (Cloudflare)

févr. 2024

rachat du domaine

juin 2024

malware observé

En bref

Date

25/06/2024

Gravité

Élevé

Étape de la chaîne

Distribution

Domaines SOCLE

Source+ Intégration, Packaging, Release, Fournisseurs, Vulnérabilités

CVE

CVE-2024-38526 · CVSS 7.2

Que s'est-il passé ?

Contexte

En février 2024, une société rachète le domaine polyfill.io et le compte GitHub associé. Ce service CDN était chargé par une vaste partie du web.

Mécanisme

En juin 2024, Sansec observe du malware servi depuis cdn.polyfill.io : un script tiers de confiance, embarqué dans des milliers de sites, devient un vecteur d'injection de JavaScript arbitraire dans le navigateur des visiteurs.

Impact

Le malware observé faisait de la redirection, mais le contrôle du CDN permettait une exécution de code arbitraire côté navigateur. Sansec estime 100 000+ sites affectés ; Cloudflare évoque ~4 % du web.

Parades

Bannir les scripts tiers non maîtrisés ou les auto-héberger, Subresource Integrity (SRI), CSP stricte, et bascule vers des alternatives sûres (Fastly, Cloudflare).

Chronologie de l'attaque

février 2024

Rachat de l'infrastructure

Une société acquiert le domaine polyfill.io et le compte GitHub polyfillpolyfill.

juin 2024

Diffusion de malware

Sansec observe du code malveillant servi depuis cdn.polyfill.io, affectant plus de 100 000 sites.

Comment l'attaquant a procédé

Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :

V-DIST-1 Canal de distribution compromis V-DEP-5 Dépendance transitive malveillante

La leçon à en tirer

Ce qu'il faut retenir

Sous-resource integrity (SRI), allowlist des CDN, réversibilité et auto-hébergement des dépendances front.

Les exigences SOCLE qui auraient limité cet incident

Cet incident se rattache à 40 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :

Fournisseurs SOCLE-FRN-CTR-3SOCLE-FRN-DEV-2SOCLE-FRN-DLV-1SOCLE-FRN-DLV-3SOCLE-FRN-GEN-3SOCLE-FRN-GEN-4SOCLE-FRN-OSS-2SOCLE-FRN-OSS-3SOCLE-FRN-SUP-2

Intégration SOCLE-INT-DEP-1SOCLE-INT-DEP-2SOCLE-INT-DEP-3SOCLE-INT-GEN-1SOCLE-INT-GEN-7SOCLE-INT-OSS-3

Packaging SOCLE-PKG-GEN-1SOCLE-PKG-SBM-1SOCLE-PKG-SBM-2SOCLE-PKG-SBM-3SOCLE-PKG-SCN-1

Release SOCLE-REL-GEN-3

Source SOCLE-SRC-FRK-3

Vulnérabilités SOCLE-VLN-DIS-1SOCLE-VLN-DIS-2SOCLE-VLN-DIS-3SOCLE-VLN-DIS-4SOCLE-VLN-GEN-1SOCLE-VLN-GEN-2SOCLE-VLN-GEN-3SOCLE-VLN-GEN-5SOCLE-VLN-INV-1SOCLE-VLN-INV-2SOCLE-VLN-INV-3SOCLE-VLN-REM-1SOCLE-VLN-REM-2SOCLE-VLN-REM-3SOCLE-VLN-REM-4SOCLE-VLN-VEX-1SOCLE-VLN-VEX-2SOCLE-VLN-VEX-3

Pour aller plus loin

Source d'origineLe compte rendu détaillé de l'incident Vecteurs : DistributionLes attaques de cette étape de la chaîne Tous les incidentsLe catalogue filtrable

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →