category|lumen fr review

2022/03/04

Des gens installes devant un PC dans un sirop a Pekin le

Votre compte Uber ou les conversations sur OKCupid ont-ils ete rendus vulnerables a cause tout d’un bug logiciel chez Cloudflare, l’un des principaux services de diffusion de concept web ? Dans l’ideal, vous n’aurez pas a le savoir… Mais aussi que l’entreprise de San Francisco a annonce vendredi avoir corrige une faille vieille de plusieurs mois, vous feriez mieux de faire la vaisselle dans vos mots de passe. D’autant que vous utilisez en general plusieurs sites web ayant recours aux prestations de Cloudflare.

Decouverte le 17 fevrier avec Tavis Ormandy, l’un des membres de l’equipe de Google dediee a la recherche de vulnerabilites, la faille a vite ete baptisee «Cloudbleed» – en reference a «Heartbleed», le bug mis au jour en mars 2014 dans l’un des principaux outils de chiffrement des communications Sur les forums. Pour le car, aucun accessoire n’indique qu’elle ait pu etre exploitee intentionnellement a des fins malveillantes. Cela n’en reste jamais moins qu’elle a pu concerner votre large panel de blogs – et donc d’utilisateurs.

Cloudflare, c’est quoi ?

Fondee en 2008, La Societe americaine Cloudflare propose differents services a destination des sites internet : protection contre les attaques par deni de service distribue (DDoS, qui consistent a saturer de requetes un serveur concernant le rendre indisponible), «pare-feu» Afin de detecter et bloquer des connexions malveillantes (tentatives d’exploiter des failles de securite, collecte automatisee d’adresses mail Afin de des «spammer» ensuite…), gestion du chiffrement des e-boutiques, ou encore duplication et diffusion de leur contenu via ses propres serveurs, afin que ces sites «repondent» plus vite a toutes les requetes des usagers.

Sur ce marche, Cloudflare est – avec Akamai, une autre entreprise americaine basee sur la cote Est – l’un des principaux acteurs, avec un nombre impressionnant de clients : «au moins deux millions de blogs web», ecrit Forbes. Parmi les entreprises qui utilisent nos services de Cloudflare, il y a en particulier Uber, la plateforme de publication Medium, le blog de rencontre OKCupid, ou encore le «coach d’activite» Fitbit et ses bracelets connectes.

Que s’est-il passe ?

Cloudflare est un intermediaire, generalement invisible, entre l’internaute et le site internet auquel il se connecte. Pour developper ses services, l’entreprise a mis en place «des outils pour analyser le code des pages web et aussi le modifier», explique Jef Mathiot, ingenieur en de plomberie et contributeur du website Reflets.info. Notamment, elle y injecte son propre code Afin de empecher la collecte automatisee des adresses mail, ou y integre a J’ai demande des clients le code de Google Analytics, l’outil de mesure d’audience sur internet du geant de Moutain View, utilise via de fort nombreux sites.

Probleme, depuis J’ai fin septembre 2016, il y avait votre bug dans ces analyseurs : certaines erreurs de syntaxe au code source des pages web provoquaient un depassement d’la memoire allouee a la requete tout d’un internaute. «Comme il traite des milliers de requetes en simultane, l’analyseur allait lire cela se passait dans une autre https://besthookupwebsites.org/fr/lumen-review/ zone de memoire temporaire, ainsi, qui pouvait concerner n’importe quel autre site utilisant Cloudflare», poursuit Jef Mathiot. Dans le lot, il pouvait parcourir des informations sensibles, telles que des mots de passe ou d’autres informations personnelles, qui etaient ensuite «reinjectes» au code une page renvoyee via Cloudflare. Second probleme : certains de ces points ainsi «fuites» se paraissent, alors, retrouves indexes par les moteurs de recherche… Donc en acces libre.

Est-ce i  fond ?

Dans son rapport d’incident, la compagnie semble s’i?tre voulue rassurante, expliquant que concernant la periode ou l’impact une vulnerabilite a ete le plus vraiment, entre le 13 et le 18 fevrier, seule «une requete dans trois millions» a pu potentiellement entrainer une fuite de donnees. Mais compte tenu du tres large panel de requetes qu’elle traite au quotidien, i§a equivaut bien ainsi, en volume, a quelque 500 000 connexions problematiques, comme l’a precise a Forbes le PDG de Cloudflare, Matthew Prince. D’apres la lettre envoyee par la societe californienne a ses clients, 150 d’entre eux ont ete affectes par le souci de la indexation dans les moteurs de recherche, qui possi?de concerne 770 pages web, mais on ne sait pas de quels sites il s’agit. A ce stade, ardu de poser un diagnostic. Si aucune exploitation intentionnelle d’une faille n’a ete reperee, rien ne garantit qu’elle soit passee inapercue.

Cloudflare assure via ailleurs avoir «travaille avec Google et les autres moteurs de recherche» afin d’effectuer disparaitre des pages indexees via leurs robots des informations qui n’auraient nullement du s’y trouver. Mais comme l’a note Motherboard, le chercheur en cybersecurite americain Thomas Ptacek a pu constater que la vaisselle n’avait nullement ete fait partout.

Que faire ?

A minima, Cela reste fortement preconise de remplacer ses mots de passe Afin de nos sites ayant recours aux prestations de Cloudflare. Un developpeur a commence a nos lister dans une base de donnees, votre autre a mis en ligne 1 formulaire qui permet de verifier si tel ou tel site utilise Cloudflare. Si on a eu la mauvaise idee d’utiliser le meme commentaire de passe pour quelques services, il convient naturellement le remplacer Afin de l’ensemble de ceux ou il fut employe.

On ne rappellera jamais assez : l’ideal reste d’avoir 1 commentaire de passe different pour chaque compte, en evitant nos mots de passe faibles, faciles a «craquer». L’usage d’un gestionnaire de mots de passe est le meilleur moyen de mettre en place cette pratique sans surcharger sa memoire. Au-dela, la «double authentification» – qui active l’envoi tout d’un code via SMS lorsqu’on se connecte depuis un nouvel appareil – est une des parades les plus efficaces contre les techniques de piratage, et de plus outre services sur internet la proposent.