L’entreprise technologique Toshiba et le détaillant Muji ont averti les visiteurs de leurs sites. Des fenêtres de connexion suspectes sont apparues et elles pourraient collecter des identifiants.
Les deux sociétés japonaises ont conseillé aux internautes qui auraient saisi leurs informations de compte sur ces écrans de modifier leur mot de passe.
Ces fenêtres contextuelles ont été générées par un service externe qui était hébergé sur le domaine polyfill[.]io. Ce service a introduit du code malveillant en 2024 dans des scripts diffusés par son réseau de diffusion de contenu.
Toshiba a communiqué brièvement. « Nous avons confirmé que certaines parties de notre site web peuvent afficher un écran de connexion. Nous travaillons actuellement à l’éliminer, mais si vous le voyez, sélectionnez « Annuler » sans entrer d’information. »
Source : Toshiba
Le géant de la vente au détail japonais Muji a publié une annonce similaire au début de la semaine. L’entreprise a mis en garde les visiteurs de son site web contre des écrans d’authentification suspects générés par le service externe polyfill[.]io.
« Pour l’instant, nous n’avons confirmé aucun accès non autorisé ou fuite d’informations sur ce site. Mais pour garantir la sécurité de nos clients, nous vous demandons de réfléchir à votre réponse », a déclaré Muji.
Toshiba et Muji ont résolu le problème et suspendu le service concerné.
Des médias japonais ont rapporté que Zojirushi, FiNC Technologies, Ishiyaku Publishers et la marque d’édition en ligne Hobonichi ont aussi été touchés par le même problème.
Le chercheur en sécurité Pasquale Pillitteri affirme que des téléviseurs intelligents Samsung et des sites web ont aussi affiché une demande de connexion le 1er juin.
Certains rapports indiquent que le problème a été causé par l’incident de polyfill[.]io en 2024. Le domaine a été acheté par une entité chinoise qui a ajouté des scripts malveillants. Plus de 100 000 sites web qui utilisaient le service Polyfill ont été impactés.
Polyfill est un réseau de diffusion de contenu JavaScript conçu pour les navigateurs obsolètes. Il fournit une couche de compatibilité pour les technologies non supportées et il permet aux sites modernes de fonctionner.
Le code Polyfill était diffusé via un réseau de diffusion de contenu à l’adresse polyfill[.]io. Cependant, le domaine n’appartenait pas au créateur du projet open source, Andrew Betts. Le domaine a expiré et n’importe qui pouvait le revendiquer.
Andrew Betts a répondu publiquement à l’époque. Il a recommandé aux propriétaires de sites web de retirer le service de leurs pages. Il a aussi relancé le service de réseau de diffusion de contenu JavaScript sur un nouveau domaine, polyfill.com, avant de s’installer sur polyfill.top.
La désactivation du service sur polyfill[.]io a stoppé les redirections. Mais certains sites qui utilisaient le service n’ont pas nettoyé toutes leurs pages au cours des deux dernières années. Des traces du code Polyfill sont donc restées.
Pasquale Pillitteri rapporte que le domaine polyfill[.]io est redevenu actif fin mai 2026. Il a commencé à répondre avec des requêtes d’authentification HTTP 401.
Les navigateurs des utilisateurs qui visitent des pages comme celles de Toshiba et de Muji interprètent cela comme une demande de nom d’utilisateur et de mot de passe. Ils affichent alors une fenêtre de connexion.
Il n’y a actuellement aucune indication que les sites web impactés aient été piratés ou que les identifiants saisis sur ces écrans de connexion frauduleux aient été volés. Il est néanmoins fortement recommandé aux utilisateurs d’être prudents face à des demandes d’authentification inattendues.