All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Importante fuite de données confidentielles chez Cloudflare et ses clients

Par Laurent LaSalle – le dans Actualités
Le service employé par 5,5 millions de sites web pourrait avoir accidentellement exposé les mots de passe et jetons d'authentification des utilisateurs de ses clients.

Cloudflare, un important réseau de distribution de contenu utilisé par des millions de sites pour en optimiser la sécurité et la performance, a annoncé cette semaine avoir été informé d’une sérieuse faille pouvant avoir exposé une gamme d’informations sensibles. Le conditionnel est utilisé ici puisque l’entreprise a précisé qu’elle n’avait pas été témoin d’une utilisation malveillante de l’information devenue accidentellement accessible par cette vulnérabilité.

Une erreur dans le code n’a pas permis de détecter le moment où la mémoire tampon était épuisée, laissant le logiciel poursuivre l’écriture de ses données ailleurs dans le système.

Cette fuite, officieusement surnommée Cloudbleed en référence aux ravages causés en 2014 par la faille Heartbleed, est le résultat d’un dépassement de mémoire tampon (buffer overflow) : un phénomène qui survient lorsqu’un logiciel inscrit des données à l’extérieur de l’espace de stockage qui lui est alloué temporairement par le système. Une erreur dans le code employé par Cloudflare a rendu inefficace la routine conçue pour détecter le moment où la mémoire tampon est épuisée, laissant ainsi le logiciel – dans le cas concerné, l’analyseur syntaxique HTML – poursuivre l’écriture de ses données ailleurs dans le système.

Découvert le 18 février dernier par Tavis Ormandy, spécialiste en sécurité informatique de l’équipe de Project Zero chez Google, le bug en question est particulièrement sévère pour de multiples raisons.

D’abord, on estime qu’il était possible de consulter de l’information parfois sensible depuis le 22 septembre dernier, soit 5 mois avant la découverte du problème. Ensuite, certaines données confidentielles ainsi divulguées ont été mises en cache par Google et d’autres moteurs de recherche, prolongeant ainsi leur période d’accessibilité.

«Nous révélons le problème aujourd’hui, car nous sommes convaincus que les caches des moteurs de recherches ont désormais purgé l’information sensible», a déclaré John Graham-Cumming, directeur technique de Clouflare. Nous vous invitons d’ailleurs à lire les explications détaillées de Graham-Cumming à propos de la vulnérabilité en question sur le blogue de l’entreprise.

Selon Cloudflare, la période de pointe du déversement de données s’est manifestée du 13 au 18 février, alors qu’une requête HTTP sur 3 300 300 pourrait avoir subi un dépassement de mémoire tampon. L’entreprise se veut rassurante en disant que cette proportion représente 0,00003% du total des requêtes qui lui ont été transmises pour cette période. Qui plus est, ce ne sont pas tous les cas de dépassement de mémoire tampon qui ont systématiquement exposé des données confidentielles.

Mais aux yeux de celui-là même qui a découvert le bug en question, le directeur technique Cloudflare semble trop minimiser l’ampleur du problème dans son article. «Il s’agit d’un excellent postmortem, mais qui diminue gravement les risques pour les clients», croit Ormandy. Rappelons que parmi les clients affectés par la vulnérabilité, on retrouve notamment 1Password, FitBit, et OKCupid.

À noter qu’à la lumière de cette découverte, 1Password a déclaré publiquement qu’aucune donnée sensible de ses utilisateurs n’avait été exposée par Cloudbleed, notamment parce que son service utilise un système de chiffrement à trois couches en cas de problèmes liés aux protocoles SSL et TLS.

Vidéo récente
- Actualités

La NASA prévoit d'explorer Mars à l'horizon 2033

Les dernières nouvelles

Lexend, la nouvelle police de Google pour améliorer la lisibilité

Lexend, la nouvelle police de Google pour améliorer la lisibilité

Branchez-vous -
Gamescom 2019 : Google annonce 11 nouveaux jeux sur Stadia

Gamescom 2019 : Google annonce 11 nouveaux jeux sur Stadia

Branchez-vous -
Cryptomonnaies : tout ce qu’il faut savoir avant de se lancer

Cryptomonnaies : tout ce qu’il faut savoir avant de se lancer

Branchez-vous -

Plus d'actualités

EMUI 10 : les 35 smartphones compatibles

EMUI 10 : les 35 smartphones compatibles

Branchez-vous -
Faille sur Windows 10 : 800 millions de personnes touchées

Faille sur Windows 10 : 800 millions de personnes touchées

Branchez-vous -
La mission ExoMars 2020 reportée à cause d’un problème technique

La mission ExoMars 2020 reportée à cause d’un problème technique

Branchez-vous -

Populaires

Facebook se met au «dark mode» sur Android

Facebook se met au «dark mode» sur Android

Branchez-vous -
Mozilla : Firefox va changer de nom

Mozilla : Firefox va changer de nom

Branchez-vous -
Sous Android, Google se débarrasse des mots de passe sur certains sites

Sous Android, Google se débarrasse des mots de passe sur certains sites

Branchez-vous -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .