CloudFlare sert notamment d’intermédiaire à deux millions de sites internet pour proposer leur version sécurisée HTTPS. Une simple coquille (un signe égal au lieu d’un signe égal ou supérieur à) a amené CloudFlare à mélanger des échanges.
Concrètement, ceci a amené certaines pages web à exposer des informations sensibles. Des moteurs de recherche ont ainsi référencé des données personnelles, telles que des mots de passe ou des jetons d’identification à des services en ligne.
Une toute petite fraction des requêtes étaient corrompues (une sur plus de 3 millions), mais ce n’est pas négligeable à l’échelle des milliards de requêtes que les millions de clients de CloudFlare ont traitées entre septembre 2016, date du début des fuites, et février 2017, date de sa découverte et de sa résolution.
Que faut-il faire ?
La probabilité que vos données d’identification soient dans la nature est réduite, mais réelle.
Les plus précautionneux sont donc invités à changer dès à présent leurs mot de passe sur tous les services exploitant CloudFlare, ainsi que sur tous ceux sur lesquels ils utilisaient les mêmes mots de passe. Le meilleur moyen de déterminer si un service exploite CloudFlare est d’utiliser le site Does it use CloudFlare?.
On peut notamment citer trois services populaires : Uber, Fitbit et OK Cupid.
Les autres attendront que les éditeurs de services en ligne ne prennent les mesures appropriées.
Google prend ses précautions ?
Par exemple, bien que Google n’exploite pas CloudFlare, il a réinitialisé par précaution les jetons de certains de ses utilisateurs, au cas où ils utiliseraient le même mot de passe sur plusieurs services. C’est la raison pour laquelle certains ont dû se reconnecter récemment.
Mise à jour : Contacté par FrAndroid, Google France nous a redirigé vers un tweet et vers une page d’aide : Google prend acte des problèmes de déconnexion, mais il les présente comme un dysfonctionnement distinct, et assure que la sécurité de ses utilisateurs n’a pas été compromise.
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Faire un test de pointeur avec == au lieu de >= , donc ne permettant pas de detecter une valeur illégale /au delà/ de la limite est décrit partout comme un "serious bug". Ici ça devient une simple coquille. D'autre part, changer de mot de passe n'est pas la solution, il faut révoquer les autorisations.
Moi aussi
Moi j avais pense a un scam d une app... impossible de savoir a 100% si c etait Google. je ne trouve pas ces messages correct.
Pour ce qu'il a d'intéressant comme info personnelles sur FrAndroid ou Discus, ils peuvent y aller. :)
Sinon il y a cette URL : http://www.doesitusecloudflare.com/
Bordel, à chaque fois que je vois une news comme celle-ci, j'me sens de moins en moins en sécurité...
C'est vrai, je vais préciser, merci pour cette remarque !
Ben juste rajouter deux lignes, en expliquant qu'il faut regarder la ligne "registrar" voir si c'est pas "cloudflare"... Si c'est le cas changer de mdp. Parce que avec juste cette phrase on peut pas deviner la suite... "Le meilleur moyen de déterminer si un service exploite CloudFlare est de consulter le whois de son nom de domaine"
Si tu as une meilleure idée, je suis preneur ! J'ai bien conscience que ce n'est pas idéal… :-/
J'ai mis à jour la dernière partie concernant Google, que j'ai contacté entre temps. Selon eux ce n'est pas lié à Cloudbleed.
Ok c'est noté !
C'est grave docteur ? ?
Haaa OK? En même temps je suis pas censé deviner qui fallait regarder dans Registrar xD
Effectivement Je précise que cloudflare n'est pas utilisé sur le forum FrAndroid ni sur disqus. Et que vos mot de passe ou autre information n'ont donc jamais été exposés. Mais nous avons bien changé les mdp de toute l'équipe.
Vous auriez pu vous citer vous-même dans les services utilisant CloudFlare :-)
Idem
Ah bah oui tu es affecté
Je sais pas qui est ce Mark Monitor, mais ça doit être un mec cool
J'aime bien les conseils de Frandroid, pour voir si on est touché, consulter le whois du nom de domaine... vraiment simple ? Je suis bien avancé avc ça : domain: google.fr status: ACTIVE hold: NO holder-c: GIH6-FRNIC admin-c: GIH5-FRNIC tech-c: CP4370-FRNIC zone-c: NFC1-FRNIC nsl-id: NSL4386-FRNIC registrar: MARKMONITOR Inc. Expiry Date: 30/12/2017 created: 27/07/2000 last-update: 30/12/2016 source: FRNIC ns-list: NSL4386-FRNIC nserver: ns1.google.com nserver: ns2.google.com nserver: ns3.google.com nserver: ns4.google.com source: FRNIC registrar: MARKMONITOR Inc. type: Isp Option 1 address: 3540 East Longwing Lane address: address: ID 83646 MERIDIAN country: US phone: +1 208 389 5740 fax-no: +1 208 389 5771 e-mail: registry.admin@markmonitor.com website: http://www.markmonitor.com anonymous: NO registered: 10/01/2002 source: FRNIC nic-hdl: GIH6-FRNIC type: ORGANIZATION contact: Google Ireland Holdings address: 70 Sir John Rogersons Quay address: 2 Dublin country: IE phone: +353 14361000 e-mail: dns-admin@google.com registrar: MARKMONITOR Inc. changed: 20/03/2015 nic@nic.fr anonymous: NO obsoleted: NO eligstatus: ok eligsource: REGISTRAR eligdate: 30/12/2011 18:15:32 reachmedia: email reachstatus: ok reachsource: REGISTRAR reachdate: 20/03/2015 22:13:41 source: FRNIC nic-hdl: GIH5-FRNIC type: ORGANIZATION contact: Google Ireland Holdings address: 70 Sir John Rogersons Quay address: 2 Dublin country: IE phone: +353 14361000 e-mail: dns-admin@google.com registrar: MARKMONITOR Inc. changed: 06/12/2011 nic@nic.fr anonymous: NO obsoleted: NO reachmedia: email reachstatus: ok reachsource: REGISTRAR reachdate: 06/12/2011 10:28:50 source: FRNIC nic-hdl: CP4370-FRNIC type: PERSON contact: Ccops Provisioning address: MarkMonitor address: 10400 Overland Rd. address: PMB 155 address: 83709 Boise country: US phone: +1 2083895740 fax-no: +1 2083895771 e-mail: ccops@markmonitor.com registrar: MARKMONITOR Inc. changed: 14/06/2011 nic@nic.fr anonymous: NO obsoleted: NO source: FRNIC
C'est pour ça que j'ai reçu une notification Google hier pour me reconnecter à tous mes comptes... Pour le reste Wait & See la réaction des services concernés en attendant que ce soit pas trop grave..
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix