Bug Cloudflare, des mots de passe visibles dans les caches navigateurs.
Des chercheurs de Google ont découvert courant février dans le CDN de Cloudflare, un bug qui laissait apparaître des données privées d’internautes mises en cache par les moteurs de recherche. Averti par l’équipe de Project Zero, le réseau de diffusion de contenus a rapidement résolu le problème qui perdurait depuis septembre 2016.
Il y a quelques jours, le fournisseur de CDN Cloudflare a dû rapidement intervenir sur un bug, désigné par la suite sous le nom de CloudBleed. Celui-ci laissait apparaître les données privées d’internautes mises en cache par ses systèmes d’optimisation et de diffusion de contenus lors des requêtes effectuées sur Internet. Le problème a été découvert presque par hasard par l’un des experts en sécurité de Project Zero, l’équipe de Google qui traque les vulnérabilités les plus sérieuses dans les logiciels et sur le web. Tavis Ormandy s’est aperçu que le CDN de Cloudflare renvoyait quelquefois des pages web confuses qui pouvaient contenir des informations privées et secrètes des internautes (mots de passe, cookies de sessions, jetons d’authentification et, même, messages privés) au lieu des données de cache qu’il était supposé retourner. Les CDN accélèrent le web en permettant à des sites de pousser des pages et du contenu média vers les nœuds Internet se trouvant au plus près de l’utilisateur qui les demande. [Sources]
Cloudflare est un service de proxy inverse, permettant principalement de lutter contre les attaques de déni de service et, dans une certaine mesure, de cacher l'adresse IP d'origine d'un serveur. Il propose également des fonctionnalités d'optimisation des pages, de détection d'intrusion ou encore de CDN. Tout le trafic d'un site utilisant le service passe par le réseau Cloudflare, réparti à travers une centaine de points de présence dans le monde. Cloudflare propose un service gratuit de base, et des options payantes (protection DDoS avancée par exemple). Parmi ses clients, on peut citer le gouvernement turc, Stratfor, Laughing Squid ou Metallica. L'infrastructure du service s'appuie sur une version modifiée de Nginx, et intègre la technologie SPDY développée par Google. En novembre 2023, Cloudflare subit des attaques DDoS hyper-volumétriques conduisant à la détruction temporaire de son site internet. La majorité des attaques avaient atteint un pic de l’ordre de 50 à 70 millions de requêtes par seconde.
Le déni de service (DDoS) est une attaque malveillante visant à rendre un service indisponible pour les utilisateurs légitimes en submergeant le serveur ciblé avec un grand volume de trafic. Les attaquants exploitent souvent des réseaux de machines infectées par des logiciels malveillants, appelées botnets, pour coordonner ces attaques massives. Les conséquences du DDoS peuvent être graves, allant de la perturbation temporaire des services en ligne à des dommages financiers considérables pour les entreprises.
Pour se protéger contre de telles attaques par déni de service, les organisations doivent mettre en œuvre des solutions de détection et de mitigation efficaces ainsi que des plans de réponse aux incidents. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité de catégorie "Zero Day" ou l'absence de mises à jour automatiques.
