Depuis quelques jours, un vent de panique souffle avec l'affaire du bug de sécurité ayant affecté Cloudflare de septembre 2016 à février 2017. Découvert par Tavis Ormandy de Project Zero (Google), il a exposé pendant cinq mois des données sensibles dont des mots de passe, cookies de sessions, jetons d'authentification et autres.
Cloudflare fait preuve d'une grande transparence, dont sur les mesures qui ont été prises, et se montre assez rassurant. Néanmoins, des experts en sécurité informatique encouragent à des changements de mots de passe pour ne pas courir le moindre risque. Encore faut-il savoir quels sites sont potentiellement concernés lorsqu'ils ne sonnent pas eux-mêmes l'alerte.
C'est que les services de Cloudflare sont amplement utilisés. Pour le savoir, il est possible d'interroger le site Does it use Cloudflare?. Une liste de tous les domaines utilisant Cloudflare DNS, et pas seulement le proxy, a également été mise en ligne sur GitHub.
Pour les navigateurs Firefox et Google Chrome, l'extension CloudBleed analyse l'historique de navigation et détermine si des sites consultés sont susceptibles d'être concernés par Cloudbleed.