« Cloudbleed » : un bug cause une fuite de données sensibles
« Cloudbleed » : un bug cause une fuite de données sensibles
Une faille de Cloudflare, un service utilisé par plusieurs millions de sites Internet, a laissé s’échapper des données personnelles pendant plusieurs semaines.
Une faille présente dans le code de Cloudflare, un service utilisé par plusieurs millions de sites Internet, a laissé s’échapper des données personnelles et des mots de passe pendant plusieurs semaines, a annoncé l’entreprise le 24 février.
Cloudflare est une entreprise qui fournit des services de protection aux sites Web : elle propose notamment de parer aux attaques consistant à saturer un site de tentatives de connexion pour le rendre inaccessible. Elle s’intercale le plus souvent entre le site visité et l’internaute, qui ne se rend compte de rien, et un certain nombre des fonctionnalités qu’elle propose nécessitent que le code informatique du site soit modifié à la volée par Cloudflare avant d’être envoyé vers l’internaute.
Une ampleur difficile à évaluer
En raison d’un bug au sein de ce processus et sous certaines conditions, des données sensibles normalement protégées, comme des mots de passe, étaient « renvoyées », de manière invisible, aux internautes par les sites qu’ils visitaient. Cela valait également pour les moteurs de recherche, qui scannent Internet en permanence, et qui ont pendant un temps stocké ce type de données. Le site NextInpact fournit une explication technique plus détaillée du fonctionnement de cette faille, surnommée « Cloudbleed ».
L’ampleur de la faille est difficile à évaluer : d’un côté, Cloudflare est utilisé par un nombre colossal de sites dans le monde, avec parmi eux des sites ou des applications très fréquentés comme Uber ou OkCupid, ce qui fait craindre la compromission d’un très grand nombre de données sensibles. De l’autre, la quantité de données fuitant involontairement de certains sites était plutôt minime, les conditions techniques dans lesquelles le bug apparaissait étaient restreintes, et Cloudflare a affirmé ne pas avoir détecté d’utilisation massive de cette faille avant qu’elle la corrige, quelques heures seulement après qu’un chercheur de Google la lui eut signalée. Dans un e-mail envoyé à ses clients, l’entreprise dit ainsi avoir dénombré seulement 150 sites affectés par la faille. Il est cependant difficile d’affirmer avec certitude qu’une faille capable de récupérer des informations aussi sensibles n’ait pas été exploitée par un acteur de haut niveau, étatique par exemple.
