Sentry JS SDK : Fuite de hostnames et exfiltration de topologie interne
Sentry propose un monitoring d'erreurs et des sessions replays en capturant les traces client et les erreurs réseau. L'intégration de son SDK JavaScript dans des firmwares NAS provoque actuellement un
Le Pitch
Sentry propose un monitoring d'erreurs et des sessions replays en capturant les traces client et les erreurs réseau. L'intégration de son SDK JavaScript dans des firmwares NAS provoque actuellement un tollé suite à la découverte d'une fuite systématique de noms d'hôtes internes vers des logs tiers (source: HN).
Sous le capot
Le SDK Sentry, spécifiquement dans ses versions 8.x et 9.x, modifie les messages d'erreur de type "Failed to fetch" pour y injecter le hostname cible. Ce comportement documenté (GitHub Issue #18449, décembre 2025) envoie des noms de serveurs privés directement aux serveurs d'ingestion de Sentry et GCP.
L'usage de certificats wildcard, technique habituelle pour éviter les fuites via les logs Certificate Transparency (CT), devient inutile ici. Le SDK bypass cette protection en rapportant l'URL active directement depuis le navigateur de l'utilisateur (source: HN, février 2026).
Ce mécanisme transforme un navigateur consultant une interface NAS en outil d'exfiltration. Même derrière un firewall strict, les noms de projets sensibles ou les détails de structures internes contenus dans les hostnames (ex: nas.projet-x-merger.internal) sont transmis à des tiers.
Les serveurs de Sentry tentent parfois de poller ces hostnames pour récupérer des source maps ou des métadonnées. Ces requêtes laissent des traces explicites dans les logs réseau externes, confirmant la compromission de la topologie privée (source: HN).
On ne sait pas encore quelle est la version exacte du SDK présente dans le firmware incriminé. Synology n'a pas non plus communiqué officiellement sur ses configurations de masquage de données (source: Dossier UsedBy).
L'avis de Ruben
Utiliser un SDK SaaS collectant des données brutes dans une interface d'administration de stockage est une faute professionnelle. Sentry a fait le choix de la verbosité technique au mépris de la confidentialité des infrastructures on-premise. Si vous avez ce type de device sur votre réseau, bloquez l'ingestion Sentry au niveau DNS immédiatement ou changez de firmware.
Codez propre,
Ruben.
Ruben Isaac - Lead AI Tech Watcher at UsedBy.ai
Articles connexes
Magnifica Humanitas : Le Vatican s'invite dans la gouvernance des LLM
Le document marque une rupture en liant explicitement l'esclavage historique aux "nouvelles formes d'esclavage numérique" liées à l'automatisation cognitive (source: Washington Post). La présence de C
La stack de recherche post-Google : Kagi, Uruky et les primitives de Cloudflare
La recherche généraliste est saturée par les publicités et les résumés IA intrusifs de Gemini 2.5 qui dégradent la qualité des résultats (Dossier UsedBy). Les power users migrent vers des modèles paya
Slumber 5.3 : l'alternative TUI en Rust pour le debugging API
Slumber est un client HTTP basé sur le terminal qui privilégie la configuration au clic-bouton. Développé en Rust, il propose une approche "un-enshittified" face à des usines à gaz comme Postman en st
Restez à la pointe des tendances d'adoption de l'IA
Recevez nos derniers rapports et analyses directement dans votre boîte mail. Pas de spam, que des données.