Importante fuite de données confidentielles chez Cloudflare et ses clients

Par Laurent LaSalle – le dans Actualités
Le service employé par 5,5 millions de sites web pourrait avoir accidentellement exposé les mots de passe et jetons d'authentification des utilisateurs de ses clients.

Cloudflare, un important réseau de distribution de contenu utilisé par des millions de sites pour en optimiser la sécurité et la performance, a annoncé cette semaine avoir été informé d’une sérieuse faille pouvant avoir exposé une gamme d’informations sensibles. Le conditionnel est utilisé ici puisque l’entreprise a précisé qu’elle n’avait pas été témoin d’une utilisation malveillante de l’information devenue accidentellement accessible par cette vulnérabilité.

Une erreur dans le code n’a pas permis de détecter le moment où la mémoire tampon était épuisée, laissant le logiciel poursuivre l’écriture de ses données ailleurs dans le système.

Cette fuite, officieusement surnommée Cloudbleed en référence aux ravages causés en 2014 par la faille Heartbleed, est le résultat d’un dépassement de mémoire tampon (buffer overflow) : un phénomène qui survient lorsqu’un logiciel inscrit des données à l’extérieur de l’espace de stockage qui lui est alloué temporairement par le système. Une erreur dans le code employé par Cloudflare a rendu inefficace la routine conçue pour détecter le moment où la mémoire tampon est épuisée, laissant ainsi le logiciel – dans le cas concerné, l’analyseur syntaxique HTML – poursuivre l’écriture de ses données ailleurs dans le système.

Découvert le 18 février dernier par Tavis Ormandy, spécialiste en sécurité informatique de l’équipe de Project Zero chez Google, le bug en question est particulièrement sévère pour de multiples raisons.

D’abord, on estime qu’il était possible de consulter de l’information parfois sensible depuis le 22 septembre dernier, soit 5 mois avant la découverte du problème. Ensuite, certaines données confidentielles ainsi divulguées ont été mises en cache par Google et d’autres moteurs de recherche, prolongeant ainsi leur période d’accessibilité.

«Nous révélons le problème aujourd’hui, car nous sommes convaincus que les caches des moteurs de recherches ont désormais purgé l’information sensible», a déclaré John Graham-Cumming, directeur technique de Clouflare. Nous vous invitons d’ailleurs à lire les explications détaillées de Graham-Cumming à propos de la vulnérabilité en question sur le blogue de l’entreprise.

Selon Cloudflare, la période de pointe du déversement de données s’est manifestée du 13 au 18 février, alors qu’une requête HTTP sur 3 300 300 pourrait avoir subi un dépassement de mémoire tampon. L’entreprise se veut rassurante en disant que cette proportion représente 0,00003% du total des requêtes qui lui ont été transmises pour cette période. Qui plus est, ce ne sont pas tous les cas de dépassement de mémoire tampon qui ont systématiquement exposé des données confidentielles.

Mais aux yeux de celui-là même qui a découvert le bug en question, le directeur technique Cloudflare semble trop minimiser l’ampleur du problème dans son article. «Il s’agit d’un excellent postmortem, mais qui diminue gravement les risques pour les clients», croit Ormandy. Rappelons que parmi les clients affectés par la vulnérabilité, on retrouve notamment 1Password, FitBit, et OKCupid.

À noter qu’à la lumière de cette découverte, 1Password a déclaré publiquement qu’aucune donnée sensible de ses utilisateurs n’avait été exposée par Cloudbleed, notamment parce que son service utilise un système de chiffrement à trois couches en cas de problèmes liés aux protocoles SSL et TLS.

Les dernières nouvelles

Des séries télévisées God of War, Horizon et Gran Turismo en préparation !

Des séries télévisées God of War, Horizon et Gran Turismo en préparation !

Empruntez des livres numériques gratuitement directement sur un iPad

Empruntez des livres numériques gratuitement directement sur un iPad

Google Street View fête ses 15 ans

Google Street View fête ses 15 ans

Plus d'actualités

Est-ce qu’Apple prépare son propre Kindle ou un iPhone à écran pliable?

Est-ce qu’Apple prépare son propre Kindle ou un iPhone à écran pliable?

PlayStation Network: Des millions d’abonnés, des milliards en revenus

PlayStation Network: Des millions d’abonnés, des milliards en revenus

Une faille Bluetooth affecte des millions de serrures … y compris celles des Tesla

Une faille Bluetooth affecte des millions de serrures … y compris celles des Tesla

Populaires

Un nouveau format musical entre le vinyle et le CD voit le jour

Un nouveau format musical entre le vinyle et le CD voit le jour

Avec Google Drive, regardez gratuitement des films en streaming

Avec Google Drive, regardez gratuitement des films en streaming

Brazzers : Près de 800 000 mots de passe compromis

Brazzers : Près de 800 000 mots de passe compromis

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .