Sentry JS SDK : Fuite de hostnames et exfiltration de topologie interne
Sentry propose un monitoring d'erreurs et des sessions replays en capturant les traces client et les erreurs réseau. L'intégration de son SDK JavaScript dans des firmwares NAS provoque actuellement un
Le Pitch
Sentry propose un monitoring d'erreurs et des sessions replays en capturant les traces client et les erreurs réseau. L'intégration de son SDK JavaScript dans des firmwares NAS provoque actuellement un tollé suite à la découverte d'une fuite systématique de noms d'hôtes internes vers des logs tiers (source: HN).
Sous le capot
Le SDK Sentry, spécifiquement dans ses versions 8.x et 9.x, modifie les messages d'erreur de type "Failed to fetch" pour y injecter le hostname cible. Ce comportement documenté (GitHub Issue #18449, décembre 2025) envoie des noms de serveurs privés directement aux serveurs d'ingestion de Sentry et GCP.
L'usage de certificats wildcard, technique habituelle pour éviter les fuites via les logs Certificate Transparency (CT), devient inutile ici. Le SDK bypass cette protection en rapportant l'URL active directement depuis le navigateur de l'utilisateur (source: HN, février 2026).
Ce mécanisme transforme un navigateur consultant une interface NAS en outil d'exfiltration. Même derrière un firewall strict, les noms de projets sensibles ou les détails de structures internes contenus dans les hostnames (ex: nas.projet-x-merger.internal) sont transmis à des tiers.
Les serveurs de Sentry tentent parfois de poller ces hostnames pour récupérer des source maps ou des métadonnées. Ces requêtes laissent des traces explicites dans les logs réseau externes, confirmant la compromission de la topologie privée (source: HN).
On ne sait pas encore quelle est la version exacte du SDK présente dans le firmware incriminé. Synology n'a pas non plus communiqué officiellement sur ses configurations de masquage de données (source: Dossier UsedBy).
L'avis de Ruben
Utiliser un SDK SaaS collectant des données brutes dans une interface d'administration de stockage est une faute professionnelle. Sentry a fait le choix de la verbosité technique au mépris de la confidentialité des infrastructures on-premise. Si vous avez ce type de device sur votre réseau, bloquez l'ingestion Sentry au niveau DNS immédiatement ou changez de firmware.
Codez propre,
Ruben.
Ruben Isaac - Lead AI Tech Watcher at UsedBy.ai
Articles connexes
Tin Can : Analyse technique du terminal VOIP pour enfants
Tin Can est un terminal VOIP Wi-Fi et Ethernet conçu pour remplacer le smartphone chez les mineurs via un système de liste blanche. L'appareil mise sur un design nostalgique sans écran pour limiter l'
PC Gamer prône la sobriété web avec une page de 37 Mo
PC Gamer appelle ses lecteurs à "tuer l'algorithme" en revenant aux flux RSS pour échapper à l'en-shittification du web moderne. Le sujet s'est transformé en cas d'école sur Hacker News à cause d'un p
Stratégie POSSE : l’état de l’art de la syndication de contenu en 2026
Le POSSE (Publish on your Own Site, Syndicate Elsewhere) vise à reprendre le contrôle total sur la propriété des données. L'idée est de centraliser l'autorité sur son propre domaine tout en exploitant
Restez à la pointe des tendances d'adoption de l'IA
Recevez nos derniers rapports et analyses directement dans votre boîte mail. Pas de spam, que des données.