AccueilđŸ‡«đŸ‡·Chercher

Cloudbleed

Cloudbleed est une faille de sécurité découverte le 17 février 2017 affectant les proxies inverses de Cloudflare[1]. Cette faille amenait les serveurs périphériques de Cloudflare à lire aprÚs la fin d'une mémoire tampon et à diffuser des informations privées telles que des cookies HTTP, des jetons d'authentification, des HTTP POST bodies et d'autres données sensibles.

En conséquence de cette faille, les données de clients de Cloudflare ont été communiquées accidentellement à d'autres clients de Cloudflare qui se trouvaient dans la mémoire du serveur au moment du débordement du tampon. Certaines de ces données ont été mises en cache par les moteurs de recherche[2] - [3] - [4] - [5] - [6] - [7] - [8].

DĂ©couverte

La faille a été signalée par l'équipe du Project Zero de Google[1]. Tavis Ormandy (en) a posté le problÚme sur le journal de son équipe et a déclaré qu'il avait informé Cloudflare du problÚme le 17 février 2017. Dans sa preuve de concept, il a obtenu qu'un serveur de Cloudflare lui « livre des messages privés provenant de sites de rencontres majeurs, des messages complets d'un service de messagerie bien connu, des données d'un gestionnaire de mots de passe en ligne, des images de sites vidéos pour adultes et des réservations d'hÎtel. J'ai obtenu des demandes https complÚtes, des adresses IP clients, des réponses complÚtes, des cookies, des mots de passe, des clés de chiffrement, des données, tout. »[9].

Similitudes avec Heartbleed

Cloudbleed est similaire Ă  la faille de sĂ©curitĂ© Heartbleed de 2014. Les deux failles permettent Ă  des tiers non autorisĂ©s d'accĂ©der Ă  des donnĂ©es dans la mĂ©moire des programmes exĂ©cutĂ©s sur des serveurs web - des donnĂ©es qui auraient dĂ» ĂȘtre protĂ©gĂ©es par la norme de sĂ©curisation par chiffrement Transport Layer Security (TLS)[10] - [11]. Cloudbleed pourrait toucher autant d'utilisateurs que Heartbleed puisque la faille affectait un rĂ©seau de diffusion de contenu utilisĂ© par prĂšs de 2 millions de sites web[3] - [11].

Reactions

Cloudflare

Le jeudi 23 février 2017, Cloudflare a publié un article de blogue mentionnant[12] :

« Le bug Ă©tait grave, car les informations rĂ©vĂ©lĂ©es pouvaient contenir des informations privĂ©es et parce que certaines de ces informations avaient Ă©tĂ© mises en cache par les moteurs de recherche. Nous n'avons pas encore dĂ©couvert de preuves d'exploits malveillants du bug ou d'autres rapports de son existence ... La plus grande pĂ©riode de vulnĂ©rabilitĂ© a Ă©tĂ© du 13 fĂ©vrier au 18 fĂ©vrier. Durant cette pĂ©riode, 1 requĂȘte sur 3300000 a pu entraĂźner des fuites de mĂ©moire (soit environ 0,00003 % des demandes). »

Cloudflare a reconnu que des informations privĂ©es auraient pu ĂȘtre divulguĂ©es dĂšs le 22 septembre 2016. La sociĂ©tĂ© a Ă©galement indiquĂ© que l'une de ses clĂ©s privĂ©es, utilisĂ©es pour le chiffrement machine Ă  machine, a Ă©tĂ© divulguĂ©e[13].

John Graham-Cumming, le directeur de la technologie de Cloudflare, a noté que les clients de Cloudflare, tels que Uber et OkCupid, n'avaient pas été informés des fuites dues aux risques de sécurité impliqués dans la situation. « Il n'y a pas eu de communication en dehors de Cloudflare - uniquement avec Google et les autres moteurs de recherche", a-t-il déclaré[5].

Graham-Cumming a également déclaré que « malheureusement, c'était l'ancien logiciel qui contenait un problÚme de sécurité latent et que ce problÚme s'est manifesté lorsque nous étions en train de migrer vers un nouveau logiciel ». Il a ajouté que son équipe avait déjà commencé à tester son logiciel pour d'autres problÚmes possibles[6].

L'Ă©quipe Project Zero de Google

Tavis Ormandy (en) de l'équipe Project Zero a écrit que Cloudflare initialement lui avait envoyé un brouillon d'article qui « minimisait considérablement le risque pour les clients ». Il a également exprimé sa déception que Cloudflare n'ait pas agi plus rapidement dans le processus de correction[5].

Uber

Uber a déclaré que l'impact sur son service avait été trÚs limité[10]. Un porte-parole d'Uber a ajouté « seulement quelques jetons de session ont été impliqués et ont depuis été changés. Les mots de passe n'ont pas été exposés »[14].

OkCupid

Le directeur gĂ©nĂ©ral d'OkCupid, Elie Seidman, a dĂ©clarĂ© : « CloudFlare nous a informĂ©s la nuit derniĂšre de leur bug et nous avons examinĂ© son impact sur nos membres. Notre enquĂȘte initiale a rĂ©vĂ©lĂ© une exposition minimale ou nulle. Si nous dĂ©terminons que certains de nos utilisateurs a Ă©tĂ© affectĂ©s, nous les informerons rapidement et nous prendrons des mesures pour les protĂ©ger. »[10] - [14].

Fitbit

Le représentant de Fitbit a déclaré que la société étudiait le problÚme et que les utilisateurs concernés peuvent changer leurs mots de passe[14].

Remédiation

De nombreux organismes de presse importants ont conseillĂ© aux utilisateurs des sites utilisant Cloudflare de modifier leur mot de passe[15] - [16] - [17] - [6], mĂȘme pour les comptes protĂ©gĂ©s par l'authentification Ă  deux facteurs. Les mots de passe des applications mobiles ont Ă©galement pu ĂȘtre rĂ©cupĂ©rĂ©s[18].

Les chercheurs d'Arbor Networks, dans une alerte, ont suggéré que « pour la plupart d'entre nous, la seule réponse vraiment sûre à cette fuite d'information à grande échelle est de mettre à jour nos mots de passe pour les sites web et les applications que nous utilisons. »[19].

Toutefois, le chroniqueur de cybersĂ©curitĂ© du magazine Inc., Joseph Steinberg (en), a conseillĂ© aux gens de ne pas modifier leurs mots de passe, dĂ©clarant que « le risque actuel est beaucoup plus petit que le prix Ă  payer d'une augmentation de la « fatigue de cybersĂ©curitĂ© » qui pourrait entraĂźner des problĂšmes beaucoup plus importants »[20]. En effet, des appels rĂ©pĂ©tĂ©s Ă  des changements de mots de passe augmentent la difficultĂ© de mĂ©moriser les mots de passe et, en consĂ©quence, pourraient inciter les gens Ă  utiliser des mots de passe faciles Ă  mĂ©moriser (donc moins sĂ©curitaires) et Ă  rĂ©utiliser les mĂȘmes mots de passe sur plusieurs sites.

Références

(en) Cet article est partiellement ou en totalitĂ© issu de l’article de WikipĂ©dia en anglais intitulĂ© « Cloudbleed » (voir la liste des auteurs).
  1. (en) « Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory », google-security-research group on code.google.com, (consulté le )
  2. (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare, (consulté le )
  3. (en) Iain Thomson, « Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug », sur The Register, (consulté le )
  4. (en-GB) Matt Burgess, « Cloudflare has been leaking private Uber, Fitbit and Ok Cupid details for months », WIRED UK,‎ (lire en ligne, consultĂ© le )
  5. (en) Kate Conger, « Major Cloudflare bug leaked sensitive data from customers’ websites », sur TechCrunch (consultĂ© le )
  6. (en) « CloudFlare Leaked Sensitive Data Across the Internet For Months », sur Fortune (consulté le )
  7. (en) Reuters, « Bug Causes Personal Data Leak, but No Sign of Hackers Exploiting: Cloudflare », The New York Times,‎ (ISSN 0362-4331, lire en ligne, consultĂ© le )
  8. (en) « CloudFlare Against CloudBleed, A Bug That Leaked Millions Of Sensitive Data From Its Customers' Websites », Eyerys, (consulté le )
  9. (en) « 1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - project-zero - Monorail », sur bugs.chromium.org (consulté le )
  10. (en) Thomas Fox-Brewster, « Google Just Discovered A Massive Web Leak... And You Might Want To Change All Your Passwords », Forbes,‎ (lire en ligne, consultĂ© le )
  11. (en-US) Adam Clark Estes, « Everything You Need to Know About Cloudbleed, the Latest Internet Security Disaster », Gizmodo,‎ (lire en ligne, consultĂ© le )
  12. (en) « CloudBleed memory leak bug explained-How it all happened | TechBuzzInℱ », TechBuzzInℱ,‎ (lire en ligne, consultĂ© le )
  13. (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare Blog,‎ (lire en ligne, consultĂ© le )
  14. (en) Selena Larson, « Why you shouldn't freak out (yet) about the 'Cloudbleed' security leak », sur CNNMoney, (consulté le )
  15. (en) « Cloudbleed: How to deal with it », sur Medium, (consulté le )
  16. (en) « Cloudbleed Explained: Flaw Exposes Mountains of Private Data », Popular Mechanics,‎ (lire en ligne, consultĂ© le )
  17. (en) Lucian Constantin, « Cloudflare bug exposed passwords, other sensitive data from websites », CIO,‎ (lire en ligne, consultĂ© le )
  18. (en-US) David Weinstein, « Cloudflare ‘Cloudbleed’ bug impact on mobile apps: Data sample of... », NowSecure,‎ (lire en ligne, consultĂ© le )
  19. (en) « Dark Reading - Cloudflare Leaked Web Customer Data For Months », sur www.darkreading.com (consulté le )
  20. (en) Joseph Steinberg, « Why You Can Ignore Calls To Change Your Passwords After Today's Massive Password Leak Announcement », Inc.,‎ (lire en ligne, consultĂ© le )
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplĂ©mentaires peuvent s’appliquer aux fichiers multimĂ©dias.