Des gens installes devant un ordinateur au sein d’ un sirop a Pekin le

Votre compte Uber ou les conversations sur OKCupid ont-ils ete rendus vulnerables du fait d’un bug logiciel chez Cloudflare, l’un des principaux services de diffusion de concept sur internet ? Dans l’ideal, vous n’aurez jamais a le savoir… Mais alors que l’entreprise de San Francisco a annonce vendredi avoir corrige une faille vieille de plusieurs mois, vous feriez mieux d’effectuer la vaisselle dans vos mots de passe. D’autant que vous utilisez en general quelques sites internet ayant recours aux prestations de Cloudflare.

Decouverte le 17 fevrier par Tavis Ormandy, l’un des membres de l’equipe de Google dediee a la recherche de vulnerabilites, la faille a vite ete baptisee «Cloudbleed» – en reference a «Heartbleed», le bug enfile au jour en mars 2014 dans l’un des principaux outils de chiffrement des communications sur internet. Pour le car, pas de facteur n’indique qu’elle ait pu etre exploitee intentionnellement a des fins malveillantes. Il n’en est pas moins qu’elle a pu concerner un large panel de blogs – et donc d’utilisateurs.

Cloudflare, c’est quoi ?

Fondee en 2008, l’entreprise americaine Cloudflare propose divers services a destination des sites internet : protection contre les attaques par deni de service distribue (DDoS, qui consistent a saturer de requetes un serveur concernant le rendre indisponible), «pare-feu» Afin de detecter et bloquer des connexions malveillantes (tentatives d’exploiter des failles de securite, collecte automatisee d’adresses mail Afin de nos «spammer» ensuite…), gestion du chiffrement des e-boutiques, ou bien duplication et diffusion de leur concept via ses propres serveurs, afin que ces sites «repondent» plus vite a toutes les requetes des usagers.

Sur ce marche, Cloudflare est – avec Akamai, une autre entreprise americaine basee sur la cote Est – l’un des principaux acteurs, avec un nombre impressionnant de clients : «au moins deux millions de sites web», ecrit Forbes. Parmi nos entreprises qui utilisent nos services de Cloudflare, on trouve principalement Uber, la plateforme de publication Medium, le website de rencontre OKCupid, mais aussi le «coach d’activite» Fitbit et ses bracelets connectes.

Que s’est-il passe ?

Cloudflare est un intermediaire, souvent invisible, entre l’internaute et la page internet auquel il se connecte. Pour developper ses services, l’entreprise a enfile en place «des outils Afin de analyser le code des pages internet et eventuellement le modifier», explique Jef Mathiot, ingenieur en de plomberie et contributeur du site Reflets.info. Par exemple, elle y injecte son propre code pour empecher la collecte automatisee des adresses mail, ou y integre a la demande de ses clients le code de Google Analytics, l’outil de mesure d’audience en ligne du geant de Moutain View, utilise via de tres nombreux sites.

Probleme, depuis Notre fin septembre 2016, il y avait votre bug au sein d’ ces analyseurs : la plupart erreurs de syntaxe au code source des pages web provoquaient un depassement une memoire allouee a la requete tout d’un internaute. «Comme il traite des milliers de requetes en simultane, l’analyseur allait lire ce qui se passait dans une autre zone de memoire temporaire, ainsi, qui pouvait concerner n’importe quel autre site utilisant Cloudflare», poursuit Jef Mathiot. Au lot, il pouvait parcourir des donnees sensibles, telles que des mots de passe ou d’autres informations personnelles, qui etaient ensuite «reinjectes» au code d’la page renvoyee via Cloudflare. Second probleme : Divers de ces points ainsi «fuites» se seront, et, retrouves indexes avec des moteurs de recherche… Donc en acces libre.

Est-ce grave ?

Dans le rapport d’incident, la compagnie semble s’i?tre voulue rassurante, expliquant que dans la periode ou l’impact de la vulnerabilite fut le plus extri?mement, entre le 13 et le 18 fevrier, seule «une requete dans trois millions» a pu potentiellement entrainer une fuite de donnees. Mais compte tenu du tres grand nombre de requetes qu’elle traite constamment, cela equivaut bien ainsi, en volume, a quelque 500 000 connexions problematiques, comme l’a precise a Forbes le PDG de Cloudflare, Matthew Prince. D’apres https://www.besthookupwebsites.org/fr/okcupid-review/ la lettre envoyee par la societe californienne a ses clients, 150 d’entre eux ont ete affectes via le probleme d’une indexation au sein des moteurs de recherche, qui possi?de concerne 770 pages internet, mais on ne sait aucun quels sites il s’agit. A ce stade, difficile de poser un diagnostic. Si aucune exploitation intentionnelle d’la faille n’a ete reperee, rien ne garantit qu’elle soit passee inapercue.

Cloudflare assure via ailleurs avoir «travaille avec Google et les autres moteurs de recherche» afin d’effectuer disparaitre des pages indexees via leurs robots les donnees qui n’auraient gui?re du s’y trouver. Mais tel l’a note Motherboard, le chercheur en cybersecurite americain Thomas Ptacek a pu constater que le menage n’avait jamais ete fera partout.

Que Realiser ?

A minima, Cela reste fortement preconise de changer ses mots de passe Afin de les sites ayant recours aux services de Cloudflare. Un developpeur a commence a les lister dans une base de precisions, votre autre a foutu sur internet votre formulaire qui permet de verifier si tel ou tel site utilise Cloudflare. Si on a eu la mauvaise idee d’utiliser le meme mot de marche Afin de diverses services, il faut evidemment le changer pour l’ensemble de ceux ou il fut employe.

On ne rappellera jamais assez : l’ideal est d’avoir un commentaire de marche different Afin de chaque compte, en evitant les mots de passe faibles, faciles a «craquer». L’usage tout d’un gestionnaire de mots de passe est le meilleur moyen de mettre en place votre pratique sans surcharger sa memoire. Au-dela, la «double authentification» – qui active l’envoi d’un code avec SMS lorsqu’on se connecte depuis un autre appareil – reste une des parades des plus efficaces contre les tentatives de piratage, et De surcroi®t outre services sur internet la proposent.