All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Importante fuite de données confidentielles chez Cloudflare et ses clients

Par Laurent LaSalle – le dans Actualités
Le service employé par 5,5 millions de sites web pourrait avoir accidentellement exposé les mots de passe et jetons d'authentification des utilisateurs de ses clients.

Cloudflare, un important réseau de distribution de contenu utilisé par des millions de sites pour en optimiser la sécurité et la performance, a annoncé cette semaine avoir été informé d’une sérieuse faille pouvant avoir exposé une gamme d’informations sensibles. Le conditionnel est utilisé ici puisque l’entreprise a précisé qu’elle n’avait pas été témoin d’une utilisation malveillante de l’information devenue accidentellement accessible par cette vulnérabilité.

Une erreur dans le code n’a pas permis de détecter le moment où la mémoire tampon était épuisée, laissant le logiciel poursuivre l’écriture de ses données ailleurs dans le système.

Cette fuite, officieusement surnommée Cloudbleed en référence aux ravages causés en 2014 par la faille Heartbleed, est le résultat d’un dépassement de mémoire tampon (buffer overflow) : un phénomène qui survient lorsqu’un logiciel inscrit des données à l’extérieur de l’espace de stockage qui lui est alloué temporairement par le système. Une erreur dans le code employé par Cloudflare a rendu inefficace la routine conçue pour détecter le moment où la mémoire tampon est épuisée, laissant ainsi le logiciel – dans le cas concerné, l’analyseur syntaxique HTML – poursuivre l’écriture de ses données ailleurs dans le système.

Découvert le 18 février dernier par Tavis Ormandy, spécialiste en sécurité informatique de l’équipe de Project Zero chez Google, le bug en question est particulièrement sévère pour de multiples raisons.

D’abord, on estime qu’il était possible de consulter de l’information parfois sensible depuis le 22 septembre dernier, soit 5 mois avant la découverte du problème. Ensuite, certaines données confidentielles ainsi divulguées ont été mises en cache par Google et d’autres moteurs de recherche, prolongeant ainsi leur période d’accessibilité.

«Nous révélons le problème aujourd’hui, car nous sommes convaincus que les caches des moteurs de recherches ont désormais purgé l’information sensible», a déclaré John Graham-Cumming, directeur technique de Clouflare. Nous vous invitons d’ailleurs à lire les explications détaillées de Graham-Cumming à propos de la vulnérabilité en question sur le blogue de l’entreprise.

Selon Cloudflare, la période de pointe du déversement de données s’est manifestée du 13 au 18 février, alors qu’une requête HTTP sur 3 300 300 pourrait avoir subi un dépassement de mémoire tampon. L’entreprise se veut rassurante en disant que cette proportion représente 0,00003% du total des requêtes qui lui ont été transmises pour cette période. Qui plus est, ce ne sont pas tous les cas de dépassement de mémoire tampon qui ont systématiquement exposé des données confidentielles.

Mais aux yeux de celui-là même qui a découvert le bug en question, le directeur technique Cloudflare semble trop minimiser l’ampleur du problème dans son article. «Il s’agit d’un excellent postmortem, mais qui diminue gravement les risques pour les clients», croit Ormandy. Rappelons que parmi les clients affectés par la vulnérabilité, on retrouve notamment 1Password, FitBit, et OKCupid.

À noter qu’à la lumière de cette découverte, 1Password a déclaré publiquement qu’aucune donnée sensible de ses utilisateurs n’avait été exposée par Cloudbleed, notamment parce que son service utilise un système de chiffrement à trois couches en cas de problèmes liés aux protocoles SSL et TLS.

Continuez votre lecture

Microsoft Outlook, Hotmail et MSN piratés : vérifiez vos emails

Microsoft Outlook, Hotmail et MSN piratés : vérifiez vos emails

Branchez-vous -
Désinstallez QuickTime sur Windows immédiatement

Désinstallez QuickTime sur Windows immédiatement

Laurent LaSalle -
Facebook continue sur sa lancée : des millions de mots de passe Instagram stockés en clair

Facebook continue sur sa lancée : des millions de mots de passe Instagram stockés en clair

Branchez-vous -
La mémoire de personnes âgées rajeunie par des stimulations électriques

La mémoire de personnes âgées rajeunie par des stimulations électriques

Matthieu Carlier -
Microsoft corrige un vieux bug affectant toutes les versions Windows depuis 95

Microsoft corrige un vieux bug affectant toutes les versions Windows depuis 95

Laurent LaSalle -
Nintendo offre jusqu’à 20 000$ US pour connaître les vulnérabilités de la Nintendo Switch

Nintendo offre jusqu’à 20 000$ US pour connaître les vulnérabilités de la Nintendo Switch

Laurent LaSalle -
Google a violé la loi canadienne sur la protection de la vie privée

Google a violé la loi canadienne sur la protection de la vie privée

Laurent LaSalle -
La sécurité de plusieurs routeurs Linksys est compromise

La sécurité de plusieurs routeurs Linksys est compromise

Laurent LaSalle -
Nouveau scandale Facebook : 540 millions de données d’utilisateurs exposées en ligne

Nouveau scandale Facebook : 540 millions de données d’utilisateurs exposées en ligne

Branchez-vous -
LG espionne les utilisateurs de ses téléviseurs intelligents

LG espionne les utilisateurs de ses téléviseurs intelligents

Laurent LaSalle -
Microsoft critique Google au sujet du dévoilement d’une vulnérabilité de Windows 10

Microsoft critique Google au sujet du dévoilement d’une vulnérabilité de Windows 10

Laurent LaSalle -
Reconnect, un outil pour pirater des comptes liés à Facebook

Reconnect, un outil pour pirater des comptes liés à Facebook

Laurent LaSalle -
La France et le Canada ont augmenté leurs demandes d’accès aux données des utilisateurs en 2014

La France et le Canada ont augmenté leurs demandes d’accès aux données des utilisateurs en 2014

Laurent LaSalle -
Pokémon GO demande l’accès à l’intégralité de votre compte Google

Pokémon GO demande l’accès à l’intégralité de votre compte Google

Laurent LaSalle -
iOS 9 vient atténuer une importante faille découverte récemment

iOS 9 vient atténuer une importante faille découverte récemment

Laurent LaSalle -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .