Cloudflare : un bogue a causé une fuite du trafic HTTPS pendant des mois
Vos données sensibles pourraient être concernées

Cloudflare est un service de proxy inverse, permettant principalement de lutter contre les attaques de déni de service et, dans une certaine mesure, de cacher l'adresse IP d'origine d'un serveur. Il propose également des fonctionnalités d'optimisation des pages, de détection d'intrusion ou encore de CDN. Le service qui aide à optimiser la sécurité et la performance de plus de 5,5 millions de sites web, a alerté ses utilisateurs qu’il a récemment corrigé une faille qui a exposé un lot de données sensibles qui auraient inclus entre autres des mots de passe, cookies, jetons d’authentification OAuth, clés API, paramètres URI…

Il y a une semaine, le chercheur de sécurité de Google Project Zero Tavis Ormandy a découvert un problème dans les serveurs périphériques de Cloudflare, de ce fait, des pages web corrompues ont été retournées par des requêtes HTTP passant par le service. Dans un message publié sur Twitter, il demande à entrer urgemment en contact avec l’équipe de sécurité de la société. Sans dire exactement de quoi il retourne, il explique simplement avoir repéré un « problème d’infrastructure » dans Cloudflare et ne pas pouvoir passer par les méthodes de signalement traditionnelles, comme HackerOne.

Après avoir informé les ingénieurs de sécurité de Cloudflare, ces derniers se sont empressés de résoudre le problème. Les premières contremesures ont été installées en 47 minutes. L’incident dans son ensemble a quant à lui été résolu en 7 heures, selon l’entreprise. Tavis Ormandy lui-même a d’ailleurs déclaré avoir été « vraiment impressionné » par la rapidité d’intervention de Cloudflare.

Une combinaison de facteurs a fait que le bogue a été particulièrement dangereux. D'une part, la fuite a pu être active depuis le 22 septembre, près de cinq mois avant sa découverte, bien que la plus grande période d'impact ait été du 13 au 18 février. Ensuite, quelques données sensibles publiées ont été mémorisées en cache par Google et d’autres moteurs de recherche. En conséquence, durant toute la période d’activité du bogue, les pirates avaient accès aux données en temps réel, par le simple biais de requêtes sur les moteurs de recherche.

« Le bogue était important parce que (les données publiées) pouvaient contenir des informations privées et parce qu'elles avaient été mises en cache par les moteurs de recherche, » a déclaré John Graham-Cumming, un des responsables de Cloudflare. « Nous révélons ce problème maintenant, car nous sommes convaincus que les caches des moteurs de recherche ont maintenant effacé les informations sensibles. Nous n'avons découvert aucune preuve d'exploitation malveillante du bogue ».

La fuite de données est le résultat d'un bogue dans une chaîne d'analyseur HTML que Cloudflare utilise pour modifier les pages Web lorsqu'elles transitent par ses serveurs. L'analyseur effectue des tâches telles que l'insertion de balises Google Analytics, la conversion de liens HTTP vers des liens plus sécurisés HTTPS, le masquage d'adresses e-mail ou encore l'exclusion de robots malveillants. Lorsque l'analyseur était utilisé en combinant trois fonctionnalités de Cloudflare : masquage du courrier électronique, l’exclusion du côté serveur, et la réécriture automatique HTTPS, cela provoquait une fuite de données aléatoires sur les serveurs périphériques Cloudflare.

Une réponse rapide de Cloudflare

Selon Cloudflare, une fois que Tavis Ormandy a informé de l’existence du problème, les ingénieurs ont coupé trois fonctionnalités — qualifiées de mineures par l’entreprise –, à savoir l’offuscation du mail, l’exclusion côté serveur et la réécriture automatique des requêtes HTTPS, à cause d’un bogue figurant dans un analyseur syntaxique. C’est, d’après l’entreprise, le point d’origine de la fuite. Il leur a fallu ensuite six heures pour corriger ce bogue.

Cette fuite ressemble à celle Heartbleed, une vulnérabilité logicielle qui a été découverte dans la bibliothèque de cryptographie open source OpenSSL et qui exposait des mots de passe, clés de chiffrement et autres contenus sensibles hébergés dans des serveurs exécutant une version vulnérable d'OpenSSL. Seulement le bogue de l’analyseur en question ici ne pouvait être exploité que contre certains sites utilisant Cloudflare. Il n'a pas non plus exposé les clés de sécurité des couches de transport.

Les sites affectés

D’après une liste des sites affectés publiée sur Github, il y aurait près de 4 287 625 domaines affectés par la fuite du trafic HTTPS, parmi lesquels figurent Uber, Patreon, Coinbase, Medium, Bitpay, Yelp, Zendesk, Namecheap et 4Chan. StackOverflow, FastMail et 1Password ont déclaré que leurs données n’ont pas été exposées et de ce fait, ils ne sont pas concernés par cette fuite. Les types de données en fuite sont de différentes natures, il y a les réservations d’hôtel, des mots de passe provenant de gestionnaires de mots de passe et des messages entiers issus de sites de rencontre. Le pire est que la fuite a duré plusieurs mois. Cloudflare a informé que ses ajustements techniques entrepris il y’a un an ont été à l’origine de cet incident.

Après avoir résolu le problème, Cloudflare s'est tourné vers les moteurs de recherche afin qu’ils effacent certaines données enregistrées dans leur cache. Dans certains cas, ces données peuvent être encore vues. Les chercheurs de Cloudflare ont identifié 770 URI uniques contenant des données en fuite et enregistrées dans le cache de moteurs de recherche comme Google, Bing et Yahoo. Les 770 URI uniques concernent 161 domaines. Le service a informé avoir mené une recherche sur des sites comme Pastebin, qui sont régulièrement utilisés pour partager des données sensibles obtenues à la suite d’un piratage ou d’une fuite de données. Toutefois, Cloudflare a tenu à rassurer qu’il n’a trouvé aucune trace indiquant que des personnes malintentionnées ont mis les mains sur ces données sensibles.

Graham-Cummings, le CTO de Cloudflare a écarté la possibilité que les clés secrètes pour la sécurité des certificats de couches de transport aient été exposées dans la fuite. Toutefois, il a admis que les mots de passe, les cookies d’authentification, les jetons d’authentification OAuth et les clés de chiffrement que Cloudflare utilise pour protéger le trafic de serveur en serveur, ont été tous en risque de fuite. Les utilisateurs de Cloudflare doivent donc au minimum penser à changer leurs mots de passe.

Source : bugs.chromium - blog Cloudflare

Et vous ?

Qu'en pensez-vous ?
Avez-vous été affectés par cette fuite ?
Avez-vous changé vos mots de passe ?

Voir aussi :

Arrêtez d'utiliser SHA-1 ! Des chercheurs affirment être parvenus à casser l'algorithme de hachage, et recommandent des versions plus sécurisées