Résurgence de polyfill[.]io : fausses fenêtres de connexion sur les sites Toshiba et Muji

📰 Source : BleepingComputer — Date de publication : 5 juin 2026

Contexte

En 2024, le domaine polyfill[.]io — un CDN JavaScript destiné à assurer la compatibilité des sites web avec les navigateurs anciens — avait été racheté par une entité chinoise non identifiée qui y avait injecté du code malveillant, impactant plus de 100 000 sites web. Le créateur du projet open source, Andrew Betts, avait alors recommandé de retirer le service et migré vers de nouveaux domaines (polyfill.com, puis polyfill.top).

Incident de juin 2026

À partir de fin mai 2026, le domaine polyfill[.]io est redevenu actif et a commencé à répondre avec des requêtes HTTP 401 (demandes d’authentification). Les navigateurs des visiteurs interprètent ces réponses comme des invitations à saisir un identifiant et un mot de passe, affichant ainsi une fenêtre de connexion frauduleuse.

Les sites affectés n’avaient pas supprimé les références résiduelles au script polyfill[.]io lors de l’incident de 2024.

Entités impactées

• 🏢 Toshiba (géant technologique japonais)
• 🛍️ Muji (grande enseigne de distribution japonaise)
• 📺 Samsung Smart TVs (signalé le 1er juin 2026 par le chercheur Pasquale Pillitteri)
• 🏭 Zojirushi, FiNC Technologies, Ishiyaku Publishers, Hobonichi (rapportés par les médias japonais)

Réactions des entreprises

• Toshiba a conseillé aux visiteurs de cliquer sur « Annuler » sans saisir d’informations et a suspendu le service.
• Muji a émis un avertissement similaire, indiquant n’avoir confirmé aucun accès non autorisé ni fuite de données à ce stade.
• Les deux entreprises ont résolu le problème et suspendu l’utilisation du service.

Éléments techniques

• Mécanisme : réponse HTTP 401 du domaine polyfill[.]io → déclenchement natif d’une fenêtre d’authentification par le navigateur
• Aucune preuve de compromission des sites eux-mêmes ni de vol de credentials confirmé à ce jour
• Le chercheur Pasquale Pillitteri a documenté l’activité reprise du domaine

📌 Type d’article : annonce d’incident — vise à informer sur la résurgence d’un domaine malveillant connu et ses effets sur des sites n’ayant pas nettoyé leurs dépendances après l’incident de 2024.

🧠 TTPs et IOCs détectés

TTP

• T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
• T1056.003 — Input Capture: Web Portal Capture (Collection)
• T1189 — Drive-by Compromise (Initial Access)

IOC

• Domaines : polyfill.io — VT · URLhaus · ThreatFox

🟡 Indice de vérification factuelle : 64/100 (moyenne)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 3417 chars — texte complet (15pts)
• ✅ 1 IOC(s) (6pts)
• ✅ 1/1 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
• ✅ 3 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• polyfill.io (domain) → VT (11/91 détections)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/suspicious-polyfill-login-prompts-pop-up-on-toshiba-muji-websites/