Depuis quelques jours, un vent de panique souffle avec l'affaire du bug de sécurité ayant affecté Cloudflare de septembre 2016 à février 2017. Découvert par Tavis Ormandy de Project Zero (Google), il a exposé pendant cinq mois des données sensibles dont des mots de passe, cookies de sessions, jetons d'authentification et autres.

peur Surnommé Cloudbleed, ce bug a touché des serveurs de type proxy inverse de Cloudflare et se trouvait dans un ancien analyseur de syntaxe (parser), provoquant un dépassement de mémoire tampon. Le résultat est que des données sensibles en mémoire ont pu fuiter dans des réponses HTTP de tiers, et ont par ailleurs pu être indexées par les moteurs de recherche.

Cloudflare fait preuve d'une grande transparence, dont sur les mesures qui ont été prises, et se montre assez rassurant. Néanmoins, des experts en sécurité informatique encouragent à des changements de mots de passe pour ne pas courir le moindre risque. Encore faut-il savoir quels sites sont potentiellement concernés lorsqu'ils ne sonnent pas eux-mêmes l'alerte.

C'est que les services de Cloudflare sont amplement utilisés. Pour le savoir, il est possible d'interroger le site Does it use Cloudflare?. Une liste de tous les domaines utilisant Cloudflare DNS, et pas seulement le proxy, a également été mise en ligne sur GitHub.

Pour les navigateurs Firefox et Google Chrome, l'extension CloudBleed analyse l'historique de navigation et détermine si des sites consultés sont susceptibles d'être concernés par Cloudbleed.