Des gens installes devant leur ordinateur dans un cafe a Pekin le

Des gens installes devant leur ordinateur dans un cafe a Pekin le | Shlomtz

Votre compte Uber ou toutes vos conversations sur OKCupid ont-ils ete rendus vulnerables du fait tout d’un bug logiciel chez Cloudflare, l’un des principaux services de diffusion de concept Sur les forums ? Dans l’ideal, vous n’aurez jamais a le savoir… Neanmoins, aussi que La Societe de San Francisco a annonce vendredi avoir corrige une faille vieille de plusieurs mois, vous feriez mieux d’effectuer la vaisselle dans vos mots de passe. D’autant que vous utilisez sans doute plusieurs sites internet ayant recours aux prestations de Cloudflare.

Decouverte le 17 fevrier par Tavis Ormandy, l’un des membres de l’equipe de Google dediee a la recherche de vulnerabilites, la faille a vite ete baptisee «Cloudbleed» – en reference a «Heartbleed», le bug foutu au jour en mars 2014 dans l’un des principaux outils de https://besthookupwebsites.org/fr/lovoo-review/ chiffrement des communications online. Pour l’heure, pas de accessoire n’indique qu’elle ait pu etre exploitee intentionnellement a des fins malveillantes. Cela n’en demeure nullement moins qu’elle a pu concerner un grand nombre de sites – et donc d’utilisateurs.

Cloudflare, c’est quoi ?

Fondee en 2008, la compagnie americaine Cloudflare propose plusieurs services a destination des e-boutiques internet : protection contre les attaques par deni de service distribue (DDoS, qui consistent a saturer de requetes un serveur concernant le rendre indisponible), «pare-feu» Afin de detecter et bloquer des connexions malveillantes (tentatives d’exploiter des failles de securite, collecte automatisee d’adresses mail Afin de des «spammer» ensuite…), gestion du chiffrement des sites, ou encore duplication et diffusion de leur concept via ses propres serveurs, afin que ces sites «repondent» plus vite a toutes les requetes des internautes.

Sur ce marche, Cloudflare est – avec Akamai, une autre entreprise americaine basee sur la cote Est – l’un des principaux acteurs, avec un nombre impressionnant de clients : «au moins deux millions de blogs web», ecrit Forbes. Parmi les entreprises qui utilisent les services de Cloudflare, il y a principalement Uber, la plateforme de publication Medium, le site de rencontre OKCupid, ou bien le «coach d’activite» Fitbit et ses bracelets connectes.

Que s’est-il passe ?

Cloudflare est votre intermediaire, souvent invisible, entre l’internaute et le blog web auquel il se connecte. Pour developper ses services, l’entreprise a foutu en place «des outils Afin de analyser le code des pages web et eventuellement le modifier», explique Jef Mathiot, ingenieur en de plomberie et contributeur du site Reflets.info. Comme, elle y injecte son propre code Afin de empecher la collecte automatisee des adresses mail, ou y integre a la demande de l’ensemble de ses clients le code de Google Analytics, l’outil de mesure d’audience en ligne du geant de Moutain View, utilise avec de reellement nombreux sites.

Probleme, depuis Notre fin septembre 2016, il y avait votre bug dans ces analyseurs : diverses erreurs de syntaxe au code source des pages internet provoquaient un depassement d’la memoire allouee a la requete tout d’un internaute. «Comme il traite des milliers de requetes en simultane, l’analyseur allait lire cela se passait dans une autre zone de memoire temporaire, et qui pouvait concerner n’importe quel autre site utilisant Cloudflare», poursuit Jef Mathiot. Au lot, il pouvait denicher des donnees sensibles, telles que des mots de passe ou d’autres precisions personnelles, qui etaient ensuite «reinjectes» au code d’la page renvoyee par Cloudflare. Second probleme : plusieurs de ces elements ainsi «fuites» se sont, et, retrouves indexes par les moteurs de recherche… Donc en acces libre.

Est-ce grave ?

Dans le rapport d’incident, l’entreprise s’est voulue rassurante, expliquant que dans la periode ou l’impact d’la vulnerabilite fut le plus tri?s, entre le 13 et le 18 fevrier, seule «une requete sur trois millions» a pu potentiellement entrainer une fuite de precisions. Mais compte tenu du tres grand nombre de requetes qu’elle traite constamment, ce qui equivaut tout de meme, en volume, a quelque 500 000 connexions problematiques, comme l’a precise a Forbes le PDG de Cloudflare, Matthew Prince. D’apres la lettre envoyee par la societe californienne a ses clients, 150 d’entre eux ont ete affectes avec le probleme de la indexation en moteurs de recherche, qui possi?de concerne 770 pages web, mais on ne sait aucune quels sites il s’agit. A votre stade, difficile de poser un diagnostic. Si aucune exploitation intentionnelle en faille n’a ete reperee, rien ne garantit qu’elle soit passee inapercue.

Cloudflare assure avec ailleurs avoir «travaille avec Google et les autres moteurs de recherche» afin d’effectuer disparaitre des pages indexees par leurs robots des precisions qui n’auraient jamais du s’y trouver. Mais tel l’a note Motherboard, le chercheur en cybersecurite americain Thomas Ptacek a pu constater que la vaisselle n’avait jamais ete fera partout.

Que faire ?

A minima, c’est fortement preconise de changer ses mots de passe Afin de nos sites ayant recours aux services de Cloudflare. Un developpeur a commence a les lister dans une base de informations, un autre a mis en ligne 1 formulaire qui permet de verifier si tel ou tel site utilise Cloudflare. Quand on a eu la mauvaise idee d’utiliser le meme mot de passe Afin de plusieurs services, vous devez evidemment le remplacer pour tous ceux ou il fut employe.

On ne rappellera jamais assez : l’ideal est d’avoir 1 mot de marche different Afin de chaque compte, en evitant les mots de marche faibles, faciles a «craquer». L’usage tout d’un gestionnaire de mots de passe est le meilleur moyen de mettre en place cette pratique sans surcharger sa memoire. Au-dela, la «double authentification» – qui active l’envoi tout d’un code par SMS lorsqu’on se connecte depuis un nouvel appareil – est une des parades les plus efficaces contre les techniques de piratage, et de plus en plus de services online la proposent.

השארת תגובה