Passer au contenu

Cloudbleed : un bug faisait fuiter les données sensibles de milliers de sites web

Une erreur de programmation a éparpillé à travers le web les données des transactions HTTP des clients du prestataire Internet CloudFlare.

Vendredi dernier, 18 février, un petit tweet envoyé en fin d’après-midi crée la panique chez CloudFlare, un prestataire qui propose des services d’acheminement web à des milliers de sites Internet. « Quelqu’un de l’équipe sécurité de CloudFlare pourrait-il me contacter de façon urgente », a écrit Tavis Ormandy, chercheur en sécurité au sein de Google Project Zero. Venant la part d’un expert aussi reconnu, ce message a immédiatement mis les ingénieurs de CloudFlare en alerte maximale.

Il faut dire que la situation était plutôt grave. Le chercheur avait mis le doigt sur une fuite de données générale au sein de l’infrastructure de CloudFlare. Quand on surfait sur le site web d’un client de ce prestataire, il pouvait arriver que l’on recevait dans la réponse tout un tas de données sensibles sans relation aucune avec la requête originale : des bouts de code HTTP, des cookies, des mots de passe, des tokens d’authentification, des données d’identification, etc. Et comme ce bug arrivait également pour les requêtes des robots d’indexation, ces données sensibles se sont également retrouvées dans les mémoires cache des moteurs de recherche, tels que Google, Bing ou Yahoo. Une prolifération bien embêtante pour un prestataire censé, justement, protéger le réseau de ses clients.

Sur Google Project Zero, Tavis Ormandy a posté quelques copies d’écran pour montrer tout ce qu’on pouvait dénicher dans ces requêtes. Ci-dessous, des données sensibles provenant d’un utilisateur du site de rencontre OK Cupid.

Dépassement de tampon

Heureusement, l’origine du bug est vite trouvée. Il s’agissait d’une petite erreur de programmation dans un « parser » de CloudFlare, c’est-à-dire un programme capable d’analyser et modifier à la volée le code HTML qui transite dans les requêtes HTTP (par exemple pour y insérer des tags Google Analytics, réécrire des liens HTML ou adapter le code au format mobile AMP). Une mauvaise gestion de pointeurs pouvait ainsi créer un dépassement de mémoire tampon et, du coup, provoquer l’insertion arbitraire de données dans les requêtes. Comme l’infrastructure de CloudFlare est mutualisée, ces données pouvaient provenir de n’importe quelle transaction réalisée sur un autre site géré par ce prestataire. Effet mixer garanti.

La bonne nouvelle, c’est que cette fuite de données n’était pas systématique et ne concernait pas les clés privées TLS/SSL. Selon CloudFlare, seule une petite fraction des requêtes (0,00003%) était impactée. Par ailleurs, les ingénieurs n’ont remarqué aucune exploitation malveillante de cette faille qui, depuis, a été corrigée. Ouf, on est sauvé.  

Source: CloudFlare

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN