Importante fuite de données confidentielles chez Cloudflare et ses clients

Publié le 24 février 2017 par _nicolas @BranchezVous

Le service employé par 5,5 millions de sites web pourrait avoir accidentellement exposé les mots de passe et jetons d’authentification des utilisateurs de ses clients.

Cloudflare, un important réseau de distribution de contenu utilisé par des millions de sites pour en optimiser la sécurité et la performance, a annoncé cette semaine avoir été informé d’une sérieuse faille pouvant avoir exposé une gamme d’informations sensibles. Le conditionnel est utilisé ici puisque l’entreprise a précisé qu’elle n’avait pas été témoin d’une utilisation malveillante de l’information devenue accidentellement accessible par cette vulnérabilité.

Une erreur dans le code n’a pas permis de détecter le moment où la mémoire tampon était épuisée, laissant le logiciel poursuivre l’écriture de ses données ailleurs dans le système.

Cette fuite, officieusement surnommée Cloudbleed en référence aux ravages causés en 2014 par la faille Heartbleed, est le résultat d’un dépassement de mémoire tampon (buffer overflow) : un phénomène qui survient lorsqu’un logiciel inscrit des données à l’extérieur de l’espace de stockage qui lui est alloué temporairement par le système. Une erreur dans le code employé par Cloudflare a rendu inefficace la routine conçue pour détecter le moment où la mémoire tampon est épuisée, laissant ainsi le logiciel – dans le cas concerné, l’analyseur syntaxique HTML – poursuivre l’écriture de ses données ailleurs dans le système.

Découvert le 18 février dernier par Tavis Ormandy, spécialiste en sécurité informatique de l’équipe de Project Zero chez Google, le bug en question est particulièrement sévère pour de multiples raisons.

D’abord, on estime qu’il était possible de consulter de l’information parfois sensible depuis le 22 septembre dernier, soit 5 mois avant la découverte du problème. Ensuite, certaines données confidentielles ainsi divulguées ont été mises en cache par Google et d’autres moteurs de recherche, prolongeant ainsi leur période d’accessibilité.

«Nous révélons le problème aujourd’hui, car nous sommes convaincus que les caches des moteurs de recherches ont désormais purgé l’information sensible», a déclaré John Graham-Cumming, directeur technique de Clouflare. Nous vous invitons d’ailleurs à lire les explications détaillées de Graham-Cumming à propos de la vulnérabilité en question sur le blogue de l’entreprise.

Selon Cloudflare, la période de pointe du déversement de données s’est manifestée du 13 au 18 février, alors qu’une requête HTTP sur 3 300 300 pourrait avoir subi un dépassement de mémoire tampon. L’entreprise se veut rassurante en disant que cette proportion représente 0,00003% du total des requêtes qui lui ont été transmises pour cette période. Qui plus est, ce ne sont pas tous les cas de dépassement de mémoire tampon qui ont systématiquement exposé des données confidentielles.

Mais aux yeux de celui-là même qui a découvert le bug en question, le directeur technique Cloudflare semble trop minimiser l’ampleur du problème dans son article. «Il s’agit d’un excellent postmortem, mais qui diminue gravement les risques pour les clients», croit Ormandy. Rappelons que parmi les clients affectés par la vulnérabilité, on retrouve notamment 1Password, FitBit, et OKCupid.

À noter qu’à la lumière de cette découverte, 1Password a déclaré publiquement qu’aucune donnée sensible de ses utilisateurs n’avait été exposée par Cloudbleed, notamment parce que son service utilise un système de chiffrement à trois couches en cas de problèmes liés aux protocoles SSL et TLS.