Un défaut majeur de Cloudflare, le service de diffusion de contenu adopté par 5,5 millions de sites web, a été publié publiquement jeudi soir (23). Appelée Cloudbleed, en référence à Heartbleed, la vulnérabilité existait il y a cinq mois et exposait des informations sensibles, telles que les cookies, les mots de passe et les clés de cryptage, de grands services.
Le problème a été découvert par Tavis Ormandy, chercheur en sécurité de Google. Ormandy travaillait sur un projet d’analyse de données lorsqu’il a trouvé des informations qui ne correspondaient pas à ce qu’il attendait. Après des discussions avec les membres de Project Zero, les employés ont conclu que, dans certaines circonstances, Cloudflare envoyait des cookies, des jetons d’authentification et d’autres données importantes dans le code source des pages.
La clé du problème réside dans le fonctionnement même de Cloudflare. LePerlmOl est l’un des millions de sites qui utilisent ce service. Lorsque vous avez ouvert cet article, vous avez en fait accédé aux serveurs de Cloudflare, qui à son tour a extrait les informations de nos propres serveurs. Tous les textes et images sont obligatoirement servis par Cloudflare ? nos lecteurs n’accèdent pas directement à nos serveurs.
Sur le chemin entre vous et nous, Cloudflare optimise la sécurité et les performances. Il convertit les liens HTTP en HTTPS et réduit la taille du HTML et du JavaScript, et protège le site contre les attaques. Le problème est que lorsque trois fonctions Cloudflare sont activées (exclusion côté serveur, réécriture automatique HTTPS et obscurcissement de l’adresse e-mail), les cookies et les données envoyées par le biais de formulaires sont infiltrés dans le code source d’autres pages qui utilisent également Cloudflare.
Des informations sensibles ont même été indexées par le cache de Google et d’autres moteurs de recherche, selon Ars Technica. Le bug existe depuis le 22 septembre 2016. Selon Cloudflare, la période la plus importante a été celle du 13 au 18 février, où une demande sur 3,3 millions pourrait entraîner une fuite de données.
Cette page sur GitHub montre certains des sites qui utilisent Cloudflare et qui pourraient avoir été affectés par la vulnérabilité. Les principaux services qui traitent des mots de passe, des jetons, de l’argent et d’autres données privées sont les suivants
Certaines entreprises clientes de Cloudflare ont déjà évoqué le problème.
AgileBits affirme que son gestionnaire de mots de passe 1Password ne repose pas uniquement sur le cryptage SSL de Cloudflare pour assurer la sécurité des informations des utilisateurs, de sorte que vos mots de passe ne sont pas en danger. L’entreprise a calmé les utilisateurs en soulignant qu’il n’est pas nécessaire de changer le mot de passe principal de l’application.
Namecheap a indiqué qu’elle enquêtait sur le cas et n’a jusqu’à présent trouvé aucune preuve que ses utilisateurs aient été affectés par l’échec du Cloudflare. Néanmoins, la société de domaine recommande aux utilisateurs d’activer l’authentification en deux étapes s’ils ne l’ont pas déjà fait.
Fastmail et StackOverflow indiquent également que vos données sont sécurisées.
