All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Importante fuite de données confidentielles chez Cloudflare et ses clients

Par Laurent LaSalle – le dans Actualités
Le service employé par 5,5 millions de sites web pourrait avoir accidentellement exposé les mots de passe et jetons d'authentification des utilisateurs de ses clients.

Cloudflare, un important réseau de distribution de contenu utilisé par des millions de sites pour en optimiser la sécurité et la performance, a annoncé cette semaine avoir été informé d’une sérieuse faille pouvant avoir exposé une gamme d’informations sensibles. Le conditionnel est utilisé ici puisque l’entreprise a précisé qu’elle n’avait pas été témoin d’une utilisation malveillante de l’information devenue accidentellement accessible par cette vulnérabilité.

Une erreur dans le code n’a pas permis de détecter le moment où la mémoire tampon était épuisée, laissant le logiciel poursuivre l’écriture de ses données ailleurs dans le système.

Cette fuite, officieusement surnommée Cloudbleed en référence aux ravages causés en 2014 par la faille Heartbleed, est le résultat d’un dépassement de mémoire tampon (buffer overflow) : un phénomène qui survient lorsqu’un logiciel inscrit des données à l’extérieur de l’espace de stockage qui lui est alloué temporairement par le système. Une erreur dans le code employé par Cloudflare a rendu inefficace la routine conçue pour détecter le moment où la mémoire tampon est épuisée, laissant ainsi le logiciel – dans le cas concerné, l’analyseur syntaxique HTML – poursuivre l’écriture de ses données ailleurs dans le système.

Découvert le 18 février dernier par Tavis Ormandy, spécialiste en sécurité informatique de l’équipe de Project Zero chez Google, le bug en question est particulièrement sévère pour de multiples raisons.

D’abord, on estime qu’il était possible de consulter de l’information parfois sensible depuis le 22 septembre dernier, soit 5 mois avant la découverte du problème. Ensuite, certaines données confidentielles ainsi divulguées ont été mises en cache par Google et d’autres moteurs de recherche, prolongeant ainsi leur période d’accessibilité.

«Nous révélons le problème aujourd’hui, car nous sommes convaincus que les caches des moteurs de recherches ont désormais purgé l’information sensible», a déclaré John Graham-Cumming, directeur technique de Clouflare. Nous vous invitons d’ailleurs à lire les explications détaillées de Graham-Cumming à propos de la vulnérabilité en question sur le blogue de l’entreprise.

Selon Cloudflare, la période de pointe du déversement de données s’est manifestée du 13 au 18 février, alors qu’une requête HTTP sur 3 300 300 pourrait avoir subi un dépassement de mémoire tampon. L’entreprise se veut rassurante en disant que cette proportion représente 0,00003% du total des requêtes qui lui ont été transmises pour cette période. Qui plus est, ce ne sont pas tous les cas de dépassement de mémoire tampon qui ont systématiquement exposé des données confidentielles.

Mais aux yeux de celui-là même qui a découvert le bug en question, le directeur technique Cloudflare semble trop minimiser l’ampleur du problème dans son article. «Il s’agit d’un excellent postmortem, mais qui diminue gravement les risques pour les clients», croit Ormandy. Rappelons que parmi les clients affectés par la vulnérabilité, on retrouve notamment 1Password, FitBit, et OKCupid.

À noter qu’à la lumière de cette découverte, 1Password a déclaré publiquement qu’aucune donnée sensible de ses utilisateurs n’avait été exposée par Cloudbleed, notamment parce que son service utilise un système de chiffrement à trois couches en cas de problèmes liés aux protocoles SSL et TLS.

Vidéo récente
- Actualités

L’environnement s’invite dans Fortnite

Les dernières nouvelles

Fortnite : des employés d’Epic Games décrivent des conditions de travail désastreuses

Fortnite : des employés d’Epic Games décrivent des conditions de travail désastreuses

Matthieu Carlier -
Ventes de smartphones en Europe : Apple coule, Huawei explose

Ventes de smartphones en Europe : Apple coule, Huawei explose

Branchez-vous -
Google met fin à la synchronisation des photos sur Google Drive

Google met fin à la synchronisation des photos sur Google Drive

Branchez-vous -

Plus d'actualités

Huawei persiste et déploie Android 9.0 Pie sur le P20 Lite

Huawei persiste et déploie Android 9.0 Pie sur le P20 Lite

Matthieu Carlier -
E3 2019 : résumé et faits saillants du grand salon du jeu vidéo !

E3 2019 : résumé et faits saillants du grand salon du jeu vidéo !

Daniel Carosella -
Avec «Your daily drive», Spotify imite la radio en mélangeant podcasts et musique

Avec «Your daily drive», Spotify imite la radio en mélangeant podcasts et musique

Branchez-vous -

Populaires

Huawei : les smartphones définitivement privés de Facebook, Whatsapp et Instagram

Huawei : les smartphones définitivement privés de Facebook, Whatsapp et Instagram

Matthieu Carlier -
Pixel 4 : Google, pour mettre fin aux fuites, dévoile son smartphone en avance

Pixel 4 : Google, pour mettre fin aux fuites, dévoile son smartphone en avance

Matthieu Carlier -
HongMeng OS : Huawei aurait déjà produit 1 million de smartphones avec son OS

HongMeng OS : Huawei aurait déjà produit 1 million de smartphones avec son OS

Branchez-vous -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .