category|loveaholics fr review

2022/03/04

Des personnes installes devant un ordinateur au sein d’ un cafe a Pekin le

Votre compte Uber ou ces conversations sur OKCupid ont-ils ete rendus vulnerables a cause tout d’un bug logiciel chez Cloudflare, l’un des principaux services de diffusion de concept sur internet ? Dans l’ideal, vous n’aurez pas a le savoir… Neanmoins, aussi que La Societe de San Francisco a annonce vendredi avoir corrige une faille vieille de plusieurs mois, vous feriez mieux d’effectuer le menage dans vos mots de passe. D’autant que vous utilisez en general plusieurs sites web ayant recours aux services de Cloudflare.

Decouverte le 17 fevrier par Tavis Ormandy, l’un des membres de l’equipe de Google dediee a la recherche de vulnerabilites, la faille a vite ete baptisee «Cloudbleed» – en reference a «Heartbleed», https://besthookupwebsites.org/fr/loveaholics-review/ le bug enfile au jour en mars 2014 dans l’un des principaux outils de chiffrement des communications web. Pour le car, pas de facteur n’indique qu’elle ait pu etre exploitee intentionnellement a des fins malveillantes. Il n’en est jamais moins qu’elle a pu concerner 1 large panel de blogs – et donc d’utilisateurs.

Cloudflare, c’est quoi ?

Fondee en 2008, La Societe americaine Cloudflare propose plusieurs services a destination des sites internet : protection contre les attaques par deni de service distribue (DDoS, qui consistent a saturer de requetes un serveur pour le rendre indisponible), «pare-feu» Afin de detecter et bloquer des connexions malveillantes (tentatives d’exploiter des failles de securite, collecte automatisee d’adresses mail pour des «spammer» ensuite…), gestion du chiffrement des e-boutiques, mais aussi duplication et diffusion de leur contenu via ses propres serveurs, afin que ces sites «repondent» plus vite a toutes les requetes des internautes.

Sur votre marche, Cloudflare est – avec Akamai, une autre entreprise americaine basee sur la cote Est – l’un des principaux acteurs, avec un nombre impressionnant de clients : «au moins deux millions de sites web», ecrit Forbes. Parmi des entreprises qui utilisent des services de Cloudflare, on trouve notamment Uber, la plateforme de publication Medium, le blog de rencontre OKCupid, ou encore le «coach d’activite» Fitbit et ses bracelets connectes.

Que s’est-il passe ?

Cloudflare est un intermediaire, en general invisible, entre l’internaute et le blog web auquel il se connecte. Pour developper ses services, l’entreprise a mis en place «des outils pour analyser le code des pages internet et aussi le modifier», explique Jef Mathiot, ingenieur en de plomberie et contributeur du website Reflets.info. Entre autres, elle y injecte son propre code pour empecher la collecte automatisee des adresses mail, ou y integre a la demande des clients le code de Google Analytics, l’outil de mesure d’audience online du geant de Moutain View, utilise via de reellement nombreux sites.

Probleme, depuis Notre fin septembre 2016, il y avait un bug au sein d’ ces analyseurs : diverses erreurs de syntaxe au code source des pages web provoquaient un depassement en memoire allouee a Notre requete d’un internaute. «Comme il traite des milliers de requetes en simultane, l’analyseur allait lire et cela se passait dans une autre zone de memoire temporaire, ainsi, qui pouvait concerner n’importe quel autre site utilisant Cloudflare», poursuit Jef Mathiot. Dans le lot, il pouvait tomber sur des informations sensibles, telles que des mots de passe ou d’autres donnees personnelles, qui etaient ensuite «reinjectes» dans le code de la page renvoyee avec Cloudflare. Second probleme : certains des elements ainsi «fuites» se paraissent, forcement, retrouves indexes par des moteurs de recherche… Donc en acces libre.

Est-ce grave ?

Dans le rapport d’incident, l’entreprise s’est voulue rassurante, expliquant que concernant la periode ou l’impact d’la vulnerabilite a ete le plus vraiment, entre le 13 et le 18 fevrier, seule «une requete via trois millions» a pu potentiellement entrainer une fuite de precisions. Mais compte tenu du tres grand nombre de requetes qu’elle traite tous les jours, ce qui equivaut tout de meme, en volume, a quelque 500 000 connexions problematiques, comme l’a precise a Forbes le PDG de Cloudflare, Matthew Prince. D’apres la lettre envoyee par la societe californienne a ses clients, 150 d’entre eux ont ete affectes par le souci de la indexation dans les moteurs de recherche, qui a concerne 770 pages internet, mais on ne sait pas de quels sites il s’agit. A votre stade, complexe de poser un diagnostic. Si aucune exploitation intentionnelle de la faille n’a ete reperee, rien ne garantit qu’elle soit passee inapercue.

Cloudflare assure via ailleurs avoir «travaille avec Google et les autres moteurs de recherche» afin d’effectuer disparaitre des pages indexees via leurs robots les precisions qui n’auraient gui?re du s’y trouver. Mais tel l’a note Motherboard, le chercheur en cybersecurite americain Thomas Ptacek a pu constater que le menage n’avait nullement ete fait partout.

Que faire ?

A minima, c’est fortement recommande de changer ses mots de passe Afin de les sites ayant recours aux services de Cloudflare. Un developpeur a commence a nos lister dans une base de donnees, votre autre a enfile online votre formulaire qui permet de verifier si tel ou tel site utilise Cloudflare. Quand on a eu la mauvaise idee d’utiliser le aussi commentaire de passe pour quelques services, vous devez naturellement le changer Afin de l’ensemble de ceux ou il fut employe.

On ne rappellera jamais assez : l’ideal est d’avoir 1 commentaire de marche different Afin de chaque compte, en evitant des mots de marche faibles, faciles a «craquer». L’usage tout d’un gestionnaire de mots de passe est le meilleur moyen de mettre en place cette pratique sans surcharger sa memoire. Au-dela, la «double authentification» – qui active l’envoi d’un code par SMS lorsqu’on se connecte depuis un nouvel appareil – reste une des parades des plus efficaces contre des tentatives de piratage, ainsi, En plus en plus de services Sur les forums la proposent.