Le leak Cloudflare : les précautions à prendre
Vous allez voir beaucoup de textes sur la toile autour du « Cloudbleed », la dernière grosse fuite de données en date. Ces papiers visent malheureusement souvent à provoquer ce genre de réactions chez les lecteurs…
Mais concrètement, il s’est passé quoi ? Que faut-il faire pour protéger ? Et puis d’abord, c’est qui / quoi Cloudflare ?
Cloudflare est un service d’optimisation Web. De manière simplifiée, une partie de leur boulot, c’est de faire en sorte qu’un site Web, hébergé disons en France, soit aussi rapide pour un internaute basé à Séoul, New York, Sydney ou Paris. Pour ça, les données sont répliquées sur d’autres serveurs partout sur la planète. C’est le principe du CDN. Mais Cloudflare s’occupe aussi de la sécurité de certains de ses clients, et agit comme une protection avant d’arriver aux sites en question, afin d’empêcher certaines attaques, comme les malheureusement classiques DDoS. Le bug venait uniquement de ce service Proxy.
Avec plus de 5,5 millions de sites gérés par leurs soins, Cloudflare est un « gros » acteur du Net, et quand un bug les touche, ça provoque logiquement une panique généralisée… Surtout qu’effectivement, cette fois le problème n’a pas été identifié tout de suite et était à l’origine de fuites de données importantes. Clés d’encryption, mots de passe, cookies et j’en passe se sont éparpillées dans la nature et dans les filets de ceux qui savaient les pêcher. Le leak aurait débuté le 22 septembre 2016, mais le plus gros du problème se situe entre les 13 et 18 février derniers, où des datas étaient exposées de manière régulière pendant des requêtes HTTP. Un problème sérieux, mais qui touche selon Cloudflare 0.00003% des requêtes. Vous trouverez également sur ce lien l’explication technique du bug. Les anglophones peuvent aussi lire les news d’ArsTechnica, TechCrunch ou The Verge.
L’explication officielle met en lumière qu’il a fallu régler un autre problème en plus du bug en question : les caches de nos moteurs de recherche préférés. Car ces fuites de données étaient également enregistrées chez Google, Bing, Yahoo & co… Il a donc fallu nettoyer tout ça avant de pouvoir annoncer ce qui s’était passé. Et a priori, il reste encore certaines choses dans le cache de Google, mais ça ne devrait plus être le cas pour très longtemps.
Et maintenant, on fait quoi ?
Il faut comprendre que d’une part la fuite est colmatée. Et que d’autre part beaucoup de sites sont cités comme étant touchés alors que la réalité est toute autre. L’exemple type est de dire que 1Password a été compromis. Oui. Mais non. Forcément, c’est moins bon pour les clics d’expliquer que c’est absolument faux et pourquoi… FastMail et d’autres se sont retrouvés dans une grosse liste de sites « impliqués » qui ne sont que des sites qui utilisent CloudFlare, sans distinction sur les services exploités et la manière dont ils se protègent de leur côté. Cette liste est mise à jour pour tenter d’exclure les faux positifs et le boulot est logiquement colossal.
S’il ne faut pas céder à la panique, il ne faut pas non plus rester les bras croisés et chantant que tout va bien. La prudence reste de mise. Personne ne sait qui était réellement au courant du problème, s’il a été exploité par des petits malins, etc. Comme d’habitude dans ce genre de cas, il est donc important de changer les passwords les plus importants en cas de doute : ceux des sites qui ont accès à vos infos de carte bleue par exemple (Uber, Patreon), qui offrent un accès à votre vie privée, etc. Regardez la liste (Notable Sites / Alexa Top 10 000), et dans le doute, changez le password. Pour notre communauté, modifier celui de votre compte Discord ne fera pas de mal par exemple. Bref, soyez malins : il sera parfois plus long de vérifier si un site a été compromis que de changer directement votre mot de passe !
