Cloudbleed

Cloudbleed est une faille de sécurité découverte le 17 février 2017 affectant les proxies inverses de Cloudflare[1]. Cette faille amenait les serveurs périphériques de Cloudflare à lire après la fin d'une mémoire tampon et à diffuser des informations privées telles que des cookies HTTP, des jetons d'authentification, des HTTP POST bodies et d'autres données sensibles.

En conséquence de cette faille, les données de clients de Cloudflare ont été communiquées accidentellement à d'autres clients de Cloudflare qui se trouvaient dans la mémoire du serveur au moment du débordement du tampon. Certaines de ces données ont été mises en cache par les moteurs de recherche[2],[3],[4],[5],[6],[7],[8].

Découverte

[modifier | modifier le code]

La faille a été signalée par l'équipe du Project Zero de Google[1]. Tavis Ormandy (en) a posté le problème sur le journal de son équipe et a déclaré qu'il avait informé Cloudflare du problème le 17 février 2017. Dans sa preuve de concept, il a obtenu qu'un serveur de Cloudflare lui « livre des messages privés provenant de sites de rencontres majeurs, des messages complets d'un service de messagerie bien connu, des données d'un gestionnaire de mots de passe en ligne, des images de sites vidéos pour adultes et des réservations d'hôtel. J'ai obtenu des demandes https complètes, des adresses IP clients, des réponses complètes, des cookies, des mots de passe, des clés de chiffrement, des données, tout. »[9].

Similitudes avec Heartbleed

[modifier | modifier le code]

Cloudbleed est similaire à la faille de sécurité Heartbleed de 2014. Les deux failles permettent à des tiers non autorisés d'accéder à des données dans la mémoire des programmes exécutés sur des serveurs web - des données qui auraient dû être protégées par la norme de sécurisation par chiffrement Transport Layer Security (TLS)[10],[11]. Cloudbleed pourrait toucher autant d'utilisateurs que Heartbleed puisque la faille affectait un réseau de diffusion de contenu utilisé par près de 2 millions de sites web[3],[11].

Reactions

[modifier | modifier le code]

Cloudflare

[modifier | modifier le code]

Le jeudi 23 février 2017, Cloudflare a publié un article de blogue mentionnant[12] :

« Le bug était grave, car les informations révélées pouvaient contenir des informations privées et parce que certaines de ces informations avaient été mises en cache par les moteurs de recherche. Nous n'avons pas encore découvert de preuves d'exploits malveillants du bug ou d'autres rapports de son existence ... La plus grande période de vulnérabilité a été du 13 février au 18 février. Durant cette période, 1 requête sur 3300000 a pu entraîner des fuites de mémoire (soit environ 0,00003 % des demandes). »

Cloudflare a reconnu que des informations privées auraient pu être divulguées dès le 22 septembre 2016. La société a également indiqué que l'une de ses clés privées, utilisées pour le chiffrement machine à machine, a été divulguée[13].

John Graham-Cumming, le directeur de la technologie de Cloudflare, a noté que les clients de Cloudflare, tels que Uber et OkCupid, n'avaient pas été informés des fuites dues aux risques de sécurité impliqués dans la situation. « Il n'y a pas eu de communication en dehors de Cloudflare - uniquement avec Google et les autres moteurs de recherche", a-t-il déclaré[5].

Graham-Cumming a également déclaré que « malheureusement, c'était l'ancien logiciel qui contenait un problème de sécurité latent et que ce problème s'est manifesté lorsque nous étions en train de migrer vers un nouveau logiciel ». Il a ajouté que son équipe avait déjà commencé à tester son logiciel pour d'autres problèmes possibles[6].

L'équipe Project Zero de Google

[modifier | modifier le code]

Tavis Ormandy (en) de l'équipe Project Zero a écrit que Cloudflare initialement lui avait envoyé un brouillon d'article qui « minimisait considérablement le risque pour les clients ». Il a également exprimé sa déception que Cloudflare n'ait pas agi plus rapidement dans le processus de correction[5].

Uber

[modifier | modifier le code]

Uber a déclaré que l'impact sur son service avait été très limité[10]. Un porte-parole d'Uber a ajouté « seulement quelques jetons de session ont été impliqués et ont depuis été changés. Les mots de passe n'ont pas été exposés »[14].

OkCupid

[modifier | modifier le code]

Le directeur général d'OkCupid, Elie Seidman, a déclaré : « CloudFlare nous a informés la nuit dernière de leur bug et nous avons examiné son impact sur nos membres. Notre enquête initiale a révélé une exposition minimale ou nulle. Si nous déterminons que certains de nos utilisateurs a été affectés, nous les informerons rapidement et nous prendrons des mesures pour les protéger. »[10],[14].

Fitbit

[modifier | modifier le code]

Le représentant de Fitbit a déclaré que la société étudiait le problème et que les utilisateurs concernés peuvent changer leurs mots de passe[14].

Remédiation

[modifier | modifier le code]

De nombreux organismes de presse importants ont conseillé aux utilisateurs des sites utilisant Cloudflare de modifier leur mot de passe[15],[16],[17],[6], même pour les comptes protégés par l'authentification à deux facteurs. Les mots de passe des applications mobiles ont également pu être récupérés[18].

Les chercheurs d'Arbor Networks, dans une alerte, ont suggéré que « pour la plupart d'entre nous, la seule réponse vraiment sûre à cette fuite d'information à grande échelle est de mettre à jour nos mots de passe pour les sites web et les applications que nous utilisons. »[19].

Toutefois, le chroniqueur de cybersécurité du magazine Inc., Joseph Steinberg (en), a conseillé aux gens de ne pas modifier leurs mots de passe, déclarant que « le risque actuel est beaucoup plus petit que le prix à payer d'une augmentation de la « fatigue de cybersécurité » qui pourrait entraîner des problèmes beaucoup plus importants »[20]. En effet, des appels répétés à des changements de mots de passe augmentent la difficulté de mémoriser les mots de passe et, en conséquence, pourraient inciter les gens à utiliser des mots de passe faciles à mémoriser (donc moins sécuritaires) et à réutiliser les mêmes mots de passe sur plusieurs sites.

Références

[modifier | modifier le code]
(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Cloudbleed » (voir la liste des auteurs).
  1. a et b (en) « Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory », google-security-research group on code.google.com, (consulté le )
  2. (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare, (consulté le )
  3. a et b (en) Iain Thomson, « Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug », sur The Register, (consulté le )
  4. (en-GB) Matt Burgess, « Cloudflare has been leaking private Uber, Fitbit and Ok Cupid details for months », WIRED UK,‎ (lire en ligne, consulté le )
  5. a b et c (en) Kate Conger, « Major Cloudflare bug leaked sensitive data from customers’ websites », sur TechCrunch (consulté le )
  6. a b et c (en) « CloudFlare Leaked Sensitive Data Across the Internet For Months », sur Fortune (consulté le )
  7. (en) Reuters, « Bug Causes Personal Data Leak, but No Sign of Hackers Exploiting: Cloudflare », The New York Times,‎ (ISSN 0362-4331, lire en ligne, consulté le )
  8. (en) « CloudFlare Against CloudBleed, A Bug That Leaked Millions Of Sensitive Data From Its Customers' Websites », Eyerys, (consulté le )
  9. (en) « 1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - project-zero - Monorail », sur bugs.chromium.org (consulté le )
  10. a b et c (en) Thomas Fox-Brewster, « Google Just Discovered A Massive Web Leak... And You Might Want To Change All Your Passwords », Forbes,‎ (lire en ligne, consulté le )
  11. a et b (en-US) Adam Clark Estes, « Everything You Need to Know About Cloudbleed, the Latest Internet Security Disaster », Gizmodo,‎ (lire en ligne, consulté le )
  12. (en) « CloudBleed memory leak bug explained-How it all happened | TechBuzzIn™ », TechBuzzIn™,‎ (lire en ligne, consulté le )
  13. (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare Blog,‎ (lire en ligne, consulté le )
  14. a b et c (en) Selena Larson, « Why you shouldn't freak out (yet) about the 'Cloudbleed' security leak », sur CNNMoney, (consulté le )
  15. (en) « Cloudbleed: How to deal with it », sur Medium, (consulté le )
  16. (en) « Cloudbleed Explained: Flaw Exposes Mountains of Private Data », Popular Mechanics,‎ (lire en ligne, consulté le )
  17. (en) Lucian Constantin, « Cloudflare bug exposed passwords, other sensitive data from websites », CIO,‎ (lire en ligne, consulté le )
  18. (en-US) David Weinstein, « Cloudflare ‘Cloudbleed’ bug impact on mobile apps: Data sample of... », NowSecure,‎ (lire en ligne, consulté le )
  19. (en) « Dark Reading - Cloudflare Leaked Web Customer Data For Months », sur www.darkreading.com (consulté le )
  20. (en) Joseph Steinberg, « Why You Can Ignore Calls To Change Your Passwords After Today's Massive Password Leak Announcement », Inc.,‎ (lire en ligne, consulté le )
v · m
Incidents
Groupes
Hackers individuels
Vulnérabilités découvertes
Logiciels malveillants