Votre compte Uber ou toutes vos conversations sur OKCupid ont-ils ete rendus vulnerables a cause d’un bug logiciel chez Cloudflare, l’un des principaux services de diffusion de concept en ligne ? Dans l’ideal, vous n’aurez jamais a le savoir… Mais alors que l’entreprise de San Francisco a annonce vendredi avoir corrige une faille vieille de plusieurs mois, vous feriez mieux d’effectuer le menage dans vos mots de passe. D’autant que vous utilisez vraisemblablement plusieurs sites web ayant recours aux prestations de Cloudflare.
Decouverte le 17 fevrier avec Tavis Ormandy, l’un des membres de l’equipe de Google dediee a la recherche de vulnerabilites, la faille a vite ete baptisee «Cloudbleed» – en reference a «Heartbleed», le bug enfile au jour en mars 2014 dans l’un des principaux outils de chiffrement des communications web. Pour l’heure, pas de element n’indique qu’elle ait pu etre exploitee intentionnellement a des fins malveillantes. Il n’en reste gui?re moins qu’elle a pu concerner un large panel de blogs – et donc d’utilisateurs.
Cloudflare, c’est quoi ?
Fondee en 2008, l’entreprise americaine Cloudflare propose differents services a destination des sites internet : protection contre les attaques par deni de service distribue (DDoS, qui consistent a saturer de requetes un serveur pour le rendre indisponible), «pare-feu» Afin de detecter et bloquer des connexions malveillantes (tentatives d’exploiter des failles de securite, collecte automatisee d’adresses mail Afin de nos «spammer» ensuite…), gestion du chiffrement des sites, mais aussi duplication et diffusion de leur contenu via ses propres serveurs, pour que ces sites «repondent» plus vite a toutes les requetes des internautes.
Sur votre marche, Cloudflare est – avec Akamai, une autre entreprise americaine basee sur la cote Est – l’un des principaux acteurs, avec un nombre impressionnant de clients : «au moins deux millions de blogs web», ecrit Forbes. Parmi nos entreprises qui utilisent les services de Cloudflare, on trouve notamment Uber, la plateforme de publication Medium, le blog de rencontre OKCupid, ou bien le «coach d’activite» Fitbit et ses bracelets connectes.
Que s’est-il passe ?
Cloudflare est votre intermediaire, souvent invisible, entre l’internaute et le site internet auquel il se connecte. Pour developper ses services, l’entreprise a mis en place «des outils Afin de analyser le code des pages internet et aussi le modifier», explique Jef Mathiot, ingenieur en informatique et contributeur du site Reflets.info. Par exemple, elle y injecte son propre code pour empecher la collecte automatisee des adresses mail, ou y integre a J’ai demande de l’ensemble de ses clients le code de Google Analytics, l’outil de mesure d’audience web du geant de Moutain View, utilise via de tres nombreux sites.
Probleme, depuis la fin septembre 2016, il y avait un bug au sein d‘ ces analyseurs : certaines erreurs de syntaxe au code source des pages web provoquaient un depassement d’une memoire allouee a J’ai requete tout d’un internaute. «Comme il traite des milliers de requetes en simultane, l’analyseur allait lire cela se passait dans une autre zone de memoire temporaire, et qui pouvait concerner n’importe quel nouvelle site utilisant Cloudflare», poursuit Jef Mathiot. Dans le lot, il pouvait parcourir des informations sensibles, telles que des mots de passe ou d’autres informations personnelles, qui etaient ensuite «reinjectes» au code d’la page renvoyee avec Cloudflare. Second probleme : plusieurs de ces points ainsi «fuites» se paraissent, alors, retrouves indexes par les moteurs https://besthookupwebsites.org/fr/instabang-review/ de recherche… Donc en acces libre.
Est-ce i fond ?
Dans son rapport d’incident, la compagnie s’est voulue rassurante, expliquant que dans la periode ou l’impact une vulnerabilite fut le plus tri?s, entre le 13 et le 18 fevrier, seule «une requete concernant trois millions» a pu potentiellement entrainer une fuite de informations. Mais compte tenu du tres large panel de requetes qu’elle traite tous les jours, cela equivaut bien ainsi, en volume, a quelque 500 000 connexions problematiques, comme l’a precise a Forbes le PDG de Cloudflare, Matthew Prince. D’apres la lettre envoyee par la societe californienne a ses clients, 150 d’entre eux ont ete affectes via le probleme d’une indexation au sein des moteurs de recherche, qui possi?de concerne 770 pages web, mais on ne sait aucun quels sites il s’agit. A ce stade, ardu de poser un diagnostic. Si aucune exploitation intentionnelle d’la faille n’a ete reperee, rien ne garantit qu’elle soit passee inapercue.
Cloudflare assure avec ailleurs avoir «travaille avec Google et les autres moteurs de recherche» afin d’effectuer disparaitre des pages indexees par leurs robots nos precisions qui n’auraient gui?re du s’y trouver. Mais tel l’a note Motherboard, le chercheur en cybersecurite americain Thomas Ptacek a pu constater que la vaisselle n’avait jamais ete fera partout.
Que faire ?
A minima, c’est fortement preconise de remplacer ses mots de marche Afin de les sites ayant recours aux services de Cloudflare. Un developpeur a commence a des lister dans une base de precisions, 1 nouvelle a enfile sur internet un formulaire qui permet de verifier si tel ou tel site utilise Cloudflare. Quand on a eu la mauvaise idee d’utiliser le aussi mot de passe Afin de quelques services, il va falloir evidemment le remplacer Afin de tous ceux ou il a ete employe.
On ne rappellera jamais assez : l’ideal est d’avoir un commentaire de marche different Afin de chaque compte, en evitant nos mots de passe faibles, faciles a «craquer». L’usage d’un gestionnaire de mots de passe est le meilleur moyen de mettre en place une telle fonctionnel sans surcharger sa memoire. Au-dela, la «double authentification» – qui active l’envoi d’un code par SMS lorsqu’on se connecte depuis un nouvel appareil – est une des parades les plus efficaces contre les tentatives de piratage, et encore en plus de services sur internet la proposent.