Votre compte Uber ou toutes vos conversations sur OKCupid ont-ils ete rendus vulnerables du fait tout d’un bug logiciel chez Cloudflare, l’un des principaux services de diffusion de concept Sur les forums ? Dans l’ideal, vous n’aurez pas a le savoir… Neanmoins, aussi que l’entreprise de San Francisco a annonce vendredi avoir corrige une faille vieille de plusieurs mois, vous feriez mieux d’effectuer la vaisselle dans vos mots de passe. D’autant que vous utilisez sans doute quelques sites internet ayant recours aux services de Cloudflare.

Decouverte le 17 fevrier par Tavis Ormandy, l’un des membres de l’equipe de Google dediee a la recherche de vulnerabilites, la faille a vite ete baptisee «Cloudbleed» – en reference a «Heartbleed», le bug enfile au jour en mars 2014 dans l’un des principaux outils de chiffrement des communications web. Pour l’heure, aucun element n’indique qu’elle ait pu etre exploitee intentionnellement a des fins malveillantes. Il n’en reste jamais moins qu’elle a pu concerner un grand nombre de blogs – et donc d’utilisateurs.

Cloudflare, c’est quoi ?

Fondee en 2008, la compagnie americaine Cloudflare propose differents services a destination des e-boutiques internet : protection contre les attaques par deni de service distribue (DDoS, qui consistent a saturer de requetes un serveur concernant le rendre indisponible), «pare-feu» pour detecter et bloquer des connexions malveillantes (tentatives d’exploiter des failles de securite, collecte automatisee d’adresses mail Afin de nos «spammer» ensuite…), gestion du chiffrement des sites, ou encore duplication et diffusion de leur contenu via ses propres serveurs, pour que ces sites «repondent» plus vite aux requetes des usagers.

Sur ce marche, Cloudflare est – avec Akamai, une autre entreprise americaine basee sur la cote Est – l’un des principaux acteurs, avec un nombre impressionnant de comment s’inscrire sur okcupid clients : «au moins deux millions de sites web», ecrit Forbes. Parmi nos entreprises qui utilisent les services de Cloudflare, on trouve principalement Uber, la plateforme de publication Medium, le site de rencontre OKCupid, ou bien le «coach d’activite» Fitbit et ses bracelets connectes.

Que s’est-il passe ?

Cloudflare reste un intermediaire, en general invisible, entre l’internaute et la page web auquel il se connecte. Pour developper ses services, l’entreprise a mis en place «des outils pour analyser le code des pages internet et eventuellement le modifier», explique Jef Mathiot, ingenieur en de plomberie et contributeur du website Reflets.info. Prenons un exemple, elle y injecte le propre code Afin de empecher la collecte automatisee des adresses mail, ou y integre a la demande de ses clients le code de Google Analytics, l’outil de mesure d’audience online du geant de Moutain View, utilise via de reellement nombreux sites.

Probleme, depuis la fin septembre 2016, il y avait 1 bug dans ces analyseurs : la plupart erreurs de syntaxe au code source des pages internet provoquaient un depassement de la memoire allouee a la requete d’un internaute. «Comme il traite des milliers de requetes en simultane, l’analyseur allait lire cela se passait dans une autre zone de memoire temporaire, ainsi, qui pouvait concerner n’importe quel nouvelle site utilisant Cloudflare», poursuit Jef Mathiot. Au lot, il pouvait tomber sur des informations sensibles, telles que des mots de passe ou d’autres informations personnelles, qui etaient ensuite «reinjectes» dans le code d’une page renvoyee par Cloudflare. Second probleme : Quelques de ces points ainsi «fuites» se paraissent, forcement, retrouves indexes avec nos moteurs de recherche… Donc en acces libre.

Est-ce i  fond ?

Dans le rapport d’incident, La Societe semble s’i?tre voulue rassurante, expliquant que concernant la periode ou l’impact d’une vulnerabilite a ete le plus tri?s, entre le 13 et le 18 fevrier, seule «une requete via trois millions» a pu potentiellement entrainer une fuite de precisions. Mais compte tenu du tres large panel de requetes qu’elle traite au quotidien, ce qui equivaut bien de meme, en volume, a quelque 500 000 connexions problematiques, comme l’a precise a Forbes le PDG de Cloudflare, Matthew Prince. D’apres la lettre envoyee par la societe californienne a ses clients, 150 d’entre eux ont ete affectes avec le souci d’une indexation au sein des moteurs de recherche, qui possi?de concerne 770 pages web, mais on ne sait aucune quels sites il s’agit. A votre stade, Complique de poser un diagnostic. Si aucune exploitation intentionnelle d’une faille n’a ete reperee, rien ne garantit qu’elle soit passee inapercue.

Cloudflare assure par ailleurs avoir «travaille avec Google et les autres moteurs de recherche» pour faire disparaitre des pages indexees avec leurs robots des precisions qui n’auraient pas du s’y trouver. Mais tel l’a note Motherboard, le chercheur en cybersecurite americain Thomas Ptacek a pu constater que la vaisselle n’avait pas ete fera partout.

Que Realiser ?

A minima, Il semble fortement recommande de remplacer ses mots de passe Afin de des sites ayant recours aux services de Cloudflare. Un developpeur a commence a des lister dans une base de informations, votre autre a mis Sur les forums un formulaire qui permet de verifier si tel ou tel site utilise Cloudflare. Si on a eu la mauvaise idee d’utiliser le meme commentaire de marche Afin de diverses services, il va falloir evidemment le remplacer pour l’ensemble de ceux ou il fut employe.

On ne rappellera jamais assez : l’ideal reste d’avoir un mot de marche different Afin de chaque compte, en evitant les mots de marche faibles, faciles a «craquer». L’usage d’un gestionnaire de mots de passe est le meilleur moyen de mettre en place votre fonctionnel sans surcharger sa memoire. Au-dela, la «double authentification» – qui active l’envoi tout d’un code avec SMS lorsqu’on se connecte depuis un nouvel appareil – reste une des parades des plus efficaces contre des techniques de piratage, ainsi, De surcroi®t outre services en ligne la proposent.