Sentry JS SDK : Fuite de hostnames et exfiltration de topologie interne
Sentry propose un monitoring d'erreurs et des sessions replays en capturant les traces client et les erreurs réseau. L'intégration de son SDK JavaScript dans des firmwares NAS provoque actuellement un
Le Pitch
Sentry propose un monitoring d'erreurs et des sessions replays en capturant les traces client et les erreurs réseau. L'intégration de son SDK JavaScript dans des firmwares NAS provoque actuellement un tollé suite à la découverte d'une fuite systématique de noms d'hôtes internes vers des logs tiers (source: HN).
Sous le capot
Le SDK Sentry, spécifiquement dans ses versions 8.x et 9.x, modifie les messages d'erreur de type "Failed to fetch" pour y injecter le hostname cible. Ce comportement documenté (GitHub Issue #18449, décembre 2025) envoie des noms de serveurs privés directement aux serveurs d'ingestion de Sentry et GCP.
L'usage de certificats wildcard, technique habituelle pour éviter les fuites via les logs Certificate Transparency (CT), devient inutile ici. Le SDK bypass cette protection en rapportant l'URL active directement depuis le navigateur de l'utilisateur (source: HN, février 2026).
Ce mécanisme transforme un navigateur consultant une interface NAS en outil d'exfiltration. Même derrière un firewall strict, les noms de projets sensibles ou les détails de structures internes contenus dans les hostnames (ex: nas.projet-x-merger.internal) sont transmis à des tiers.
Les serveurs de Sentry tentent parfois de poller ces hostnames pour récupérer des source maps ou des métadonnées. Ces requêtes laissent des traces explicites dans les logs réseau externes, confirmant la compromission de la topologie privée (source: HN).
On ne sait pas encore quelle est la version exacte du SDK présente dans le firmware incriminé. Synology n'a pas non plus communiqué officiellement sur ses configurations de masquage de données (source: Dossier UsedBy).
L'avis de Ruben
Utiliser un SDK SaaS collectant des données brutes dans une interface d'administration de stockage est une faute professionnelle. Sentry a fait le choix de la verbosité technique au mépris de la confidentialité des infrastructures on-premise. Si vous avez ce type de device sur votre réseau, bloquez l'ingestion Sentry au niveau DNS immédiatement ou changez de firmware.
Codez propre,
Ruben.
Ruben Isaac - Lead AI Tech Watcher at UsedBy.ai
Articles connexes
SQLite 3.53.1 : Standard de persévérance et architecture Edge
SQLite est devenu en 2026 le format de stockage universel recommandé par la Library of Congress pour la conservation de données à long terme (source: loc.gov). Loin d'être un simple utilitaire, il s'e
Anthropic Claude 4.5 Opus : l'élongation documentaire comme indicateur de productivité
Le déploiement de Claude 4.5 Opus en entreprise a validé sa capacité à générer des artifacts professionnels sophistiqués (Dossier UsedBy). Les intégrations majeures chez Quora et Notion confirment que
Valve Steam Controller 2026 : Ouverture des fichiers CAO et rupture de stock immédiate
Valve a libéré les fichiers CAO (STP, STL) de la coque externe du nouveau Steam Controller et de son "Puck" magnétique sous licence Creative Commons BY-NC-SA 4.0 (Source: Valve Official Announcement).
Restez à la pointe des tendances d'adoption de l'IA
Recevez nos derniers rapports et analyses directement dans votre boîte mail. Pas de spam, que des données.