Fin février, une faille de sécurité critique a touché Cloudflare, un service de type CDN/firewall utilisé par plusieurs millions de sites Internet. La société s’explique sur la fuite de données personnelles.
A cause d’une vulnérabilité au sein de son système, Cloudflare a laissé fuiter les données personnelles des utilisateurs (y compris les mots de passe) fin février. Si vous avez un compte sur le service, vous devez impérativement changer votre mot de passe et procéder à une déconnexion / reconnexion afin de réinitialiser la session. Tous les sites utilisant ce service peuvent potentiellement être concernés et inutile de préciser qu’ils sont très nombreux (environ 5,5 millions)… une telle centralisation étant bien entendue dangereuse pour lé sécurité des sites se basant dessus en toute confiance aveugle. Baptisée Cloudbleed – en référence à la faille Heartbleed – la société s’est récemment exprimé sur le sujet qui a fait beaucoup de bruit chez les webmasters.
Le mois dernier, c’est Tavis Ormandy, membre du Projet Zero de Google qui a expliqué que Cloudflare a été victime d’une importante fuite de données, dont certaines ont été indexées par les moteurs de recherche, ce qui a été rapidement confirmé par le service. Cookies, clés API, jetons d’authentification OAuth, requêtes HTTP POST, réponses JSON et autres éléments sensibles ont été impactés.
Cloudflare have been leaking customer HTTPS sessions for months. Uber, 1Password, FitBit, OKCupid, etc. https://t.co/wjwE4M3Pbk
— Tavis Ormandy (@taviso) February 23, 2017
Pour rappel, Cloudflare est une entreprise qui fournit des services de protection aux sites Web : elle propose notamment une protection de type firewall pour contrer les cyberattaques de type DDoS consistant à saturer un site de tentatives de connexion pour le rendre inaccessible. Le service s’intercale entre le site visité et l’internaute (ce qui implique de déléguer la gestion DNS de son nom de domaine à Cloudflare), ce qui est la plupart du temps transparent, et un certain nombre des fonctionnalités proposées nécessitent que le code source du site en question soit modifié à la volée par Cloudflare avant d’être envoyé vers l’internaute. Il fait aussi fonction de CDN (Content Delivery Network). Une alternative existe maintenant chez Google avec le projet Shield notamment mais est réservée aux médias presse.
La vulnérabilité découverte se trouvait au sein du parser de code source fait maison par Cloudflare, exploitée via un dépassement de tampon mémoire. Cela créait un bug bien particulier : le programme envoyait de manière aléatoire des données sensibles présentes en mémoire au sein du code HTML des pages renvoyées aux clients. Cloudbleed est alors apparu lors de la mise en production du nouveau parser nommé cf-html, implémenté en tant que module sous le serveur NGINX.
D’après la société et son PDG Matthew Prince, l’impact serait réduit car les fuites ne se produisaient que très rarement : environ une fois toutes les 3 300 000 requêtes HTTP, soit 0,00003 % du temps. Le soucis pourrait avoir débuté en septembre 2016. Notons aussi que les moteurs de recherche ont été expurgés des pages contenant des informations ayant fuitées de Cloudflare et que la vulnérabilité est maintenant corrigée. Au total, 770 URL de 161 domaines différents ont été supprimés. Après enquête internet chez Cloudflare, rien ne laisse actuellement entendre que Cloudbleed a pu être exploité par des cybercriminels.
Si vous êtes webmaster, sachez que vous pouvez vérifier si un site utilise Cloudflare via ce service en ligne.