Votre compte Uber ou les conversations sur OKCupid ont-ils ete rendus vulnerables a cause d’un bug logiciel chez Cloudflare, l’un https://besthookupwebsites.org/fr/mature-dating-review/ des principaux services de diffusion de concept en ligne ? Dans l’ideal, vous n’aurez jamais a le savoir… Neanmoins, alors que la compagnie de San Francisco a annonce vendredi avoir corrige une faille vieille de plusieurs mois, vous feriez mieux de faire le menage dans vos mots de passe. D’autant que vous utilisez sans doute quelques sites internet ayant recours aux prestations de Cloudflare.
Decouverte le 17 fevrier par Tavis Ormandy, l’un des membres de l’equipe de Google dediee a la recherche de vulnerabilites, la faille a vite ete baptisee «Cloudbleed» – en reference a «Heartbleed», le bug mis au jour en mars 2014 dans l’un des principaux outils de chiffrement des communications online. Pour l’heure, aucun facteur n’indique qu’elle ait pu etre exploitee intentionnellement a des fins malveillantes. Cela n’en demeure pas moins qu’elle a pu concerner 1 grand nombre de blogs – et donc d’utilisateurs.
Cloudflare, c’est quoi ?
Fondee en 2008, La Societe americaine Cloudflare propose divers services a destination des sites internet : protection contre les attaques par deni de service distribue (DDoS, qui consistent a saturer de requetes un serveur concernant le rendre indisponible), «pare-feu» pour detecter et bloquer des connexions malveillantes (tentatives d’exploiter des failles de securite, collecte automatisee d’adresses mail pour des «spammer» ensuite…), gestion du chiffrement des e-boutiques, ou bien duplication et diffusion de leur concept via ses propres serveurs, afin que ces sites «repondent» plus vite aux requetes des usagers.
Sur ce marche, Cloudflare reste – avec Akamai, une autre entreprise americaine basee sur la cote Est – l’un des principaux acteurs, avec un nombre impressionnant de clients : «au moins deux millions de sites web», ecrit Forbes. Parmi les entreprises qui utilisent des services de Cloudflare, il y a principalement Uber, la plateforme de publication Medium, la page de rencontre OKCupid, ou encore le «coach d’activite» Fitbit et ses bracelets connectes.
Que s’est-il passe ?
Cloudflare reste votre intermediaire, habituellement invisible, entre l’internaute et le blog internet auquel il se connecte. Pour developper ses services, l’entreprise a enfile en place «des outils pour analyser le code des pages internet et aussi le modifier», explique Jef Mathiot, ingenieur en de plomberie et contributeur du site Reflets.info. Pourquoi pas, elle y injecte son propre code Afin de empecher la collecte automatisee des adresses mail, ou y integre a J’ai demande de ses clients le code de Google Analytics, l’outil de mesure d’audience en ligne du geant de Moutain View, utilise par de tres nombreux sites.
Probleme, depuis J’ai fin septembre 2016, il y avait votre bug au sein d’ ces analyseurs : la plupart erreurs de syntaxe dans le code source des pages internet provoquaient un depassement de la memoire allouee a Notre requete tout d’un internaute. «Comme il traite des milliers de requetes en simultane, l’analyseur allait lire et cela se passait dans une autre zone de memoire temporaire, et qui pouvait concerner n’importe quel nouvelle site utilisant Cloudflare», poursuit Jef Mathiot. Dans le lot, il pouvait parcourir des donnees sensibles, telles que des mots de passe ou d’autres informations personnelles, qui etaient ensuite «reinjectes» dans le code d’une page renvoyee via Cloudflare. Second probleme : Divers de ces points ainsi «fuites» se seront, du coup, retrouves indexes via des moteurs de recherche… Donc en acces libre.
Est-ce i fond ?
Dans son rapport d’incident, La Societe semble s’i?tre voulue rassurante, expliquant que via la periode ou l’impact d’une vulnerabilite a ete le plus fort, entre le 13 et le 18 fevrier, seule «une requete via trois millions» a pu potentiellement entrainer une fuite de donnees. Mais compte tenu du tres grand nombre de requetes qu’elle traite tous les jours, i§a equivaut bien ainsi, en volume, a quelque 500 000 connexions problematiques, comme l’a precise a Forbes le PDG de Cloudflare, Matthew Prince. D’apres la lettre envoyee par la societe californienne a ses clients, 150 d’entre eux ont ete affectes via le probleme d’une indexation au sein des moteurs de recherche, qui possi?de concerne 770 pages internet, mais on ne sait pas de quels sites il s’agit. A ce stade, Complique de poser un diagnostic. Si aucune exploitation intentionnelle en faille n’a ete reperee, rien ne garantit qu’elle soit passee inapercue.
Cloudflare assure par ailleurs avoir «travaille avec Google et les autres moteurs de recherche» afin d’effectuer disparaitre des pages indexees par leurs robots les informations qui n’auraient nullement du s’y trouver. Mais tel l’a note Motherboard, le chercheur en cybersecurite americain Thomas Ptacek a pu constater que la vaisselle n’avait nullement ete fera partout.
Que faire ?
A minima, Il semble fortement recommande de remplacer ses mots de passe Afin de les sites ayant recours aux prestations de Cloudflare. Un developpeur a commence a nos lister dans une base de precisions, 1 autre a enfile web votre formulaire qui permet de verifier si tel ou tel site utilise Cloudflare. Si on a eu la mauvaise idee d’utiliser le aussi commentaire de marche pour quelques services, on doit bien sur le changer pour l’ensemble de ceux ou il fut employe.
On ne rappellera jamais assez : l’ideal reste d’avoir votre commentaire de marche different Afin de chaque compte, en evitant les mots de marche faibles, faciles a «craquer». L’usage tout d’un gestionnaire de mots de passe est le meilleur moyen de mettre en place votre pratique sans surcharger sa memoire. Au-dela, la «double authentification» – qui active l’envoi d’un code par SMS lorsqu’on se connecte depuis un autre appareil – est une des parades des plus efficaces contre des techniques de piratage, et En plus en plus de services sur internet la proposent.