Au cours des derniers mois, un bug dans le célèbre service Cloudflare a pu exposer des données utilisateur sensibles, y compris des noms d'utilisateurs , mots de passe et messages privés - au monde en texte brut. Quelle est la taille de ce problème et que devez-vous faire?

Qu'est-ce que Cloudflare?

Cloudflare est un service qui offre des fonctionnalités de sécurité et de performance (entre autres) à un vaste réseau de sites Web. Il agit comme un proxy inverse, un intermédiaire entre vous-l'utilisateur et un site Web donné. Lorsque vous visiterez ce site, vous serez redirigé vers l'un des serveurs de Cloudflare au lieu des serveurs du site.

Cela permet à Cloudflare de s'assurer que vous êtes un utilisateur légitime (protégeant ainsi contre les attaques par déni de service), le site est plus rapide (car ils ont mis en cache certaines parties du site), et protège contre les temps d'arrêt (puisqu'ils ont plusieurs serveurs dans le monde entier et peuvent se rabattre sur n'importe quel serveur).

Cloudflare assure que les attaquants DDoS ne

En bref: Cloudflare vise à rendre les sites plus rapides et plus sûrs, et c'est un service que beaucoup de sites utilisent.

Que s'est-il passé? (Et qu'est-ce que "Cloudbleed?")

Malheureusement, rien n'est sécurisé à 100%, même si un site utilise un service comme Cloudflare, et que des bugs surviennent. Dans ce cas, Cloudflare a causé un problème de sécurité: un bogue dans le code proxy inverse qui analyse le code HTML a provoqué la fuite du contenu de la mémoire de certains serveurs Cloudflare dans certaines circonstances. (Certaines personnes se réfèrent à cela comme "Cloudbleed", un jeu du bug Heartbleed qui a également affecté une grande partie de l'Internet.)

Ces données pourraient avoir inclus toutes sortes de données sensibles, y compris les noms d'utilisateur, mots de passe, messages privés , Jetons OAuth, et beaucoup plus. Pire encore, certaines de ces données ont été indexées et mises en cache par certains moteurs de recherche (environ 700 pages, selon Cloudflare), donc si vous saviez quoi rechercher sur Google, vous pourriez trouver des données sensibles d'utilisateurs se connectant au moment d'un fuite

Si vous savez ce qu'il faut rechercher, vous pouvez trouver des informations sur les moteurs de recherche de Cloudflare.

Ce bug n'a pas été découvert depuis environ cinq mois et a été corrigé après avoir été découvert cette semaine. Cloudflare indique que «la plus grande période d'impact a été du 13 février au 18 février avec environ 1 sur 3 300 000 demandes HTTP via Cloudflare pouvant entraîner des fuites de mémoire (environ 0,00003% des demandes).»

Mais avec un service aussi populaire que Cloudflare, 0.00003% est encore beaucoup. Certaines personnes ont compilé une liste de sites qui utilisent Cloudflare, et il comprend plus de 4 millions de domaines, y compris Yelp, OkCupid, Uber, Authy, Medium, et beaucoup d'autres. (Certaines applications mobiles sont également concernées.)

Vous pouvez en savoir plus sur les détails techniques de ce bogue sur le blog de Cloudflare, mais cela ne vous intéressera probablement que si vous êtes programmeur, si vous êtes un utilisateur régulier d'Internet. , la seule chose que vous devez savoir est ...

Que dois-je faire?

Premièrement: ne paniquez pas trop. Tous les sites de cette liste de 4 millions d'utilisateurs ne transmettaient pas forcément d'informations sensibles: si un site utilisait simplement Cloudflare pour mettre en cache des données d'image, par exemple, il n'y aurait pas d'informations sensibles à divulguer. Et ce n'est pas comme si chaque fuite était une liste maîtresse de mots de passe - c'était des éléments d'information aléatoires, qui pouvaient inclure quelques noms d'utilisateur et mots de passe à un moment donné.

Cependant, Cloudflare a également noté l'une de leurs propres clés privées a été divulguée, ce qui aurait permis à un attaquant d'accéder à un grand nombre de données Cloudflare internes, y compris potentiellement des noms d'utilisateur et des mots de passe. Cloudflare était extrêmement vague sur ce point particulier, malgré le fait qu'il constitue un risque de sécurité majeur avec la possibilité de divulguer des informations beaucoup plus sensibles.

Cela dit, il n'y a pas vraiment de moyen de savoir si vos données ont été divulguées. le seul plan d'action sûr en ce moment est de changez tous vos mots de passe . (Bien sûr, vous pouvez parcourir la liste de 4 millions de sites et ne modifier que ceux utilisés par Cloudflare, mais honnêtement, il serait probablement plus facile et plus rapide de tout changer.)

Les règles habituelles avec mots de passe s'appliquent ici: n'utilisez pas le même mot de passe sur plusieurs sites, utilisez un gestionnaire de mots de passe comme LastPass et activez l'authentification à deux facteurs pour chaque site qui le permet. Si vous ne faites pas ces choses, le bug Cloudflare est probablement le moindre de vos soucis - après tout, les sites sont piratés tout le temps, et si vous utilisez le même mot de passe partout, toutes vos données sont régulièrement en danger.

Si vous utilisez déjà un gestionnaire de mots de passe, ce processus devrait être facile (s'il est un peu long et ennuyeux). Mais tu devrais être habitué à cette danse maintenant.

Comment rechercher des messages de discussion WhatsApp

Vous essayez de trouver un message spécifique dans votre énorme journal de chat WhatsApp? Il y a deux façons de chercher, donc vous pouvez trouver ce que vous cherchez rapidement. Si vous n'êtes pas sûr de savoir avec qui la conversation a eu lieu, vous pouvez rechercher l'ensemble de votre archive depuis la fenêtre principale de Chats.

(how-top)

Si vous n'avez jamais essayé de clavier mécanique, vous manquez le

Les claviers mécaniques font fureur ces jours-ci. Les joueurs hardcore et les codeurs long-courrier se rapprochent des claviers à membrane traditionnels en faveur de leur concurrence plus cliquetante. Si vous n'avez toujours pas pris le train en marche, voici tout ce que vous devez savoir Comment fonctionnent les claviers Pour comprendre ce qui rend les claviers mécaniques géniaux, vous devez d'abord comprendre le fonctionnement des claviers.

(how-top)