Plus de 384 000 sites Web font un lien vers un site qui a été pris la semaine dernière en train d’effectuer une attaque de la chaîne d’approvisionnement redirigeant les visiteurs vers des sites malveillants, ont déclaré les chercheurs. Pendant des années, le code JavaScript, hébergé sur polyfill[.]com, était un projet open source légitime qui permettait aux anciens navigateurs de gérer des fonctions avancées qui n’étaient pas prises en charge nativement. En faisant un lien vers cdn.polyfill[.]io, les sites Web pouvaient garantir que les appareils utilisant des navigateurs anciens pouvaient afficher du contenu dans de nouveaux formats. Le service gratuit était populaire parmi les sites Web car tout ce qu’ils avaient à faire était d’intégrer le lien dans leurs sites. Le code hébergé sur le site polyfill faisait le reste. En février, la société chinoise Funnull a acquis le domaine et le compte GitHub qui hébergeait le code JavaScript. Le 25 juin, des chercheurs de la société de sécurité Sansec ont signalé que le code hébergé sur le domaine polyfill avait été modifié pour rediriger les utilisateurs vers des sites à thème pour adultes et de jeux de hasard. Le code a été délibérément conçu pour masquer les redirections en ne les exécutant qu’à certains moments de la journée et uniquement contre les visiteurs répondant à des critères spécifiques. Cette révélation a déclenché des appels à l’action à l’échelle de l’industrie. Deux jours après la publication du rapport de Sansec, le registraire de domaine Namecheap a suspendu le domaine, ce qui a empêché efficacement le code malveillant de s’exécuter sur les appareils des visiteurs. Même alors, les réseaux de diffusion de contenu tels que Cloudflare ont commencé à remplacer automatiquement les liens pollyfill par des domaines menant à des sites miroirs sûrs. Google a bloqué les publicités pour les sites intégrant le domaine Polyfill[.]io. Le bloqueur de sites Web uBlock Origin a ajouté le domaine à sa liste de filtres. Et Andrew Betts, le créateur original de Polyfill.io, a exhorté les propriétaires de sites Web à supprimer immédiatement les liens vers la bibliothèque. En date de mardi, exactement une semaine après que le comportement malveillant a été révélé, 384 773 sites continuaient de faire un lien vers le site, selon des chercheurs de la société de sécurité Censys. Certains des sites étaient associés à des entreprises grand public telles que Hulu, Mercedes-Benz et Warner Bros. ainsi qu’au gouvernement fédéral. Les résultats soulignent le pouvoir des attaques de la chaîne d’approvisionnement, qui peuvent propager des logiciels malveillants à des milliers ou des millions de personnes simplement en infectant une source commune sur laquelle ils se fient tous.
« Survivre cet été sur Internet »
Un après-midi d’août, alors qu’un suprémaciste blanc conduisait une voiture à travers une foule de manifestants pacifiques à Charlottesville, en
