Accueil » Actualité » CloudFlare annonce une faille touchant Uber, Fitbit et plein d’autres

CloudFlare annonce une faille touchant Uber, Fitbit et plein d’autres

Image 1 : CloudFlare annonce une faille touchant Uber, Fitbit et plein d'autres

De nombreux sites Web auraient été victimes de fuites de leurs données censées être sécurisées, à cause d’une faille récemment découverte dans le système fourni par CloudFlare, un service permettant de disposer d’un chiffrement par SSL visant justement à éviter les fuites de données. Parmi les sites concernés, on trouve notamment Uber, 1Password, Fitbit ou OKCupid.

C’est dans un long communiqué que CloudFlare explique, avec force détails techniques, la faille récemment découverte qui aurait conduit à de nombreuses fuites de données. En outre, le service explique qu’une des fuites les plus massives aurait eu lieu le 13 février dernier, où 1 requête HTTP sur 3 300 300 aurait été interceptée. Cela peut sembler peu, mais constitue un nombre important pour un service comme CloudFlare, qui gère quotidiennement plusieurs millions de ce type de requêtes.

La faille provient du système de chiffrement par SSL, censé éviter que les données échangées entre un serveur et un ordinateur puissent être interceptées et lues par une personne tierce. Ce type de chiffrement est utilisé notamment pour protéger des données sensibles comme des mots de passe, des coordonnées ou des paiements en ligne. Une simple erreur dans le code, selon CloudFlare, qui aurait conduit à la fuite de « requêtes HTTPS complètes, adresse IP, cookies, mots de passe, clés, données, tout » selon Tavis Ormandy, un technicien de Google qui aurait découvert la faille le premier.

CloudFlare indique avoir désormais corrigé le problème, et propagé le correctif à tous ses serveurs, le tout en moins de sept heures après sa découverte. Il sera néanmoins difficile d’estimer complètement les dégâts potentiels causés par une telle faille, que certains comparent déjà à la faille Heartbleed découverte en 2014.