Alerte Sécurité : compromission de polyfill.io, retirez Immédiatement le Service de Vos Sites Web

Une faille de sécurité majeure affecte le service polyfill.io, utilisé par plus de 100 000 sites web pour assurer la compatibilité avec les navigateurs plus anciens. Les utilisateurs du PAS (Prestataires d’Accompagnement au Numérique) sont fortement invités à supprimer ce service de leurs sites dès que possible.

Qu’est-ce qu’un Polyfill ?

Un polyfill est un fragment de code, généralement en JavaScript, qui permet d’ajouter des fonctionnalités modernes à des navigateurs plus anciens qui ne les prennent pas en charge nativement. Il comble ainsi les lacunes et assure une expérience utilisateur cohérente.

La Menace : Injection de Code Malveillant

Le domaine cdn.polyfill.io, associé au service, a été compromis. Cette compromission ouvre la porte à l’injection de code malveillant, permettant de rediriger les utilisateurs vers des sites frauduleux conçus pour voler des informations sensibles. Il est crucial de comprendre que cette vulnérabilité représente un risque sérieux pour la sécurité de vos visiteurs.

Que Faire Immédiatement ?

Namecheap, le registraire du domaine compromis, a suspendu et récupéré le domaine malveillant. Cependant, cela ne suffit pas. Il est impératif de :

• Supprimer polyfill.io : Retirez immédiatement toute référence à polyfill.io de votre code source.
• Mettre à jour les dépendances : Assurez-vous que toutes les dépendances liées à polyfill sont également mises à jour. Le service n’est plus fiable et son utilisation peut entraîner des dysfonctionnements de votre site web.

Cette attaque a été signalée par le CERT (Center d’expertise en sécurité informatique) afin d’alerter et d’atténuer les conséquences pour les entités concernées.La vigilance et une action rapide sont essentielles pour protéger vos utilisateurs et votre site web.