Cloudbleed

Cloudbleed est une faille de sécurité découverte le 17 février 2017 affectant les proxies inverses de Cloudflare^[1]. Cette faille amenait les serveurs périphériques de Cloudflare à lire après la fin d'une mémoire tampon et à diffuser des informations privées telles que des cookies HTTP, des jetons d'authentification, des HTTP POST bodies et d'autres données sensibles.

En conséquence de cette faille, les données de clients de Cloudflare ont été communiquées accidentellement à d'autres clients de Cloudflare qui se trouvaient dans la mémoire du serveur au moment du débordement du tampon. Certaines de ces données ont été mises en cache par les moteurs de recherche^[2]^,^[3]^,^[4]^,^[5]^,^[6]^,^[7]^,^[8].

La faille a été signalée par l'équipe du Project Zero de Google^[1]. Tavis Ormandy (en) a posté le problème sur le journal de son équipe et a déclaré qu'il avait informé Cloudflare du problème le 17 février 2017. Dans sa preuve de concept, il a obtenu qu'un serveur de Cloudflare lui « livre des messages privés provenant de sites de rencontres majeurs, des messages complets d'un service de messagerie bien connu, des données d'un gestionnaire de mots de passe en ligne, des images de sites vidéos pour adultes et des réservations d'hôtel. J'ai obtenu des demandes https complètes, des adresses IP clients, des réponses complètes, des cookies, des mots de passe, des clés de chiffrement, des données, tout. »^[9].

Similitudes avec Heartbleed

Cloudbleed est similaire à la faille de sécurité Heartbleed de 2014. Les deux failles permettent à des tiers non autorisés d'accéder à des données dans la mémoire des programmes exécutés sur des serveurs web - des données qui auraient dû être protégées par la norme de sécurisation par chiffrement Transport Layer Security (TLS)^[10]^,^[11]. Cloudbleed pourrait toucher autant d'utilisateurs que Heartbleed puisque la faille affectait un réseau de diffusion de contenu utilisé par près de 2 millions de sites web^[3]^,^[11].

Reactions

Cloudflare

Le jeudi 23 février 2017, Cloudflare a publié un article de blogue mentionnant^[12] :

« Le bug était grave, car les informations révélées pouvaient contenir des informations privées et parce que certaines de ces informations avaient été mises en cache par les moteurs de recherche. Nous n'avons pas encore découvert de preuves d'exploits malveillants du bug ou d'autres rapports de son existence ... La plus grande période de vulnérabilité a été du 13 février au 18 février. Durant cette période, 1 requête sur 3300000 a pu entraîner des fuites de mémoire (soit environ 0,00003 % des demandes). »

Cloudflare a reconnu que des informations privées auraient pu être divulguées dès le 22 septembre 2016. La société a également indiqué que l'une de ses clés privées, utilisées pour le chiffrement machine à machine, a été divulguée^[13].

John Graham-Cumming, le directeur de la technologie de Cloudflare, a noté que les clients de Cloudflare, tels que Uber et OkCupid, n'avaient pas été informés des fuites dues aux risques de sécurité impliqués dans la situation. « Il n'y a pas eu de communication en dehors de Cloudflare - uniquement avec Google et les autres moteurs de recherche", a-t-il déclaré^[5].

Graham-Cumming a également déclaré que « malheureusement, c'était l'ancien logiciel qui contenait un problème de sécurité latent et que ce problème s'est manifesté lorsque nous étions en train de migrer vers un nouveau logiciel ». Il a ajouté que son équipe avait déjà commencé à tester son logiciel pour d'autres problèmes possibles^[6].

L'équipe Project Zero de Google

Tavis Ormandy (en) de l'équipe Project Zero a écrit que Cloudflare initialement lui avait envoyé un brouillon d'article qui « minimisait considérablement le risque pour les clients ». Il a également exprimé sa déception que Cloudflare n'ait pas agi plus rapidement dans le processus de correction^[5].

Uber

Uber a déclaré que l'impact sur son service avait été très limité^[10]. Un porte-parole d'Uber a ajouté « seulement quelques jetons de session ont été impliqués et ont depuis été changés. Les mots de passe n'ont pas été exposés »^[14].

OkCupid

Le directeur général d'OkCupid, Elie Seidman, a déclaré : « CloudFlare nous a informés la nuit dernière de leur bug et nous avons examiné son impact sur nos membres. Notre enquête initiale a révélé une exposition minimale ou nulle. Si nous déterminons que certains de nos utilisateurs a été affectés, nous les informerons rapidement et nous prendrons des mesures pour les protéger. »^[10]^,^[14].

Fitbit

Le représentant de Fitbit a déclaré que la société étudiait le problème et que les utilisateurs concernés peuvent changer leurs mots de passe^[14].

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) FREAK (2015) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker