Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la divulgation de la vulnérabilité « CloudBleed » découverte par Google.
Description :
Le 18 février dernier, l’équipe de chercheurs de Google connue sous le nom de « Project Zero » a découvert par son une faille de sécurité impactant le fournisseur de service de haute disponibilité Cloudflare. Surnommée « CloudBleed« , elle est considérée comme étant une faille de premier plan, comme l’a été HeartBleed.
Cloudflare est une entreprise offrant, entre autres, un service de proxy inverse. Plus précisément, tout le trafic d’un site web utilisant ce service passe par le réseau de Cloudflare qui va répartir la charge sur plusieurs points de présence dans le monde. Très populaire, ce service est actuellement utilisé par plus de 2 millions de sites web (Uber, Fitbit, OKCupid, etc.).
La vulnérabilité résidait dans le traitement des pages HTML par Cloudflare. La prise en charge d’une page HTML mal formée permettait à chaque visiteur de récupérer une partie de la mémoire vive du proxy de Cloudflare. Et par conséquent de récupérer des données potentiellement sensibles de n’importe quel site utilisant le service de proxy reverse.
Présente depuis le 22 septembre 2016 et jusqu’au 18 février dernier (corrigée ce jour-là), la vulnérabilité a permis aux ingénieurs de Google de récupérer des bribes de conversation sur des sites de rencontre ou de chat, du contenu pornographique, mais également des mots de passe et des clés d’API. Toutefois, Cloudflare assure que les clés privées SSL de ses clients n’ont pas fuité.
En conséquence, tout service archivant des sites internet utilisant Cloudflare (cache de moteurs de recherche, etc.), expose publiquement des informations sensibles sur une partie des 2 millions de sites web utilisant les services de la société.
Afin de réduire la fuite d’information, Google ainsi que d’autres moteurs de recherche procèdent actuellement à un nettoyage de leur cache. En revanche, il est possible que d’autres sites, moins populaires, mettent plus de temps à procéder à ce nettoyage.
Par mesure de précaution, il est conseillé de renouveler l’ensemble de vos mots de passe. Une liste des sites web utilisant Cloudflare est disponible à l’adresse suivante : https://github.com/pirate/sites-using-cloudflare
Référence :
- https://bugs.chromium.org/p/project-zero/issues/detail?id=1139
- https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
Référence CERT-XMCO :
CXN-2017-0671