Même si vous n'utilisez pas consciemment les services de CloudFlare, il se peut que vous soyez concerné par cette faille. En effet, la société propose un ensemble de services comme la protection contre les attaques DDOS (proxy), un pare-feu, mais également du chiffrement à destination de nombreux sites. Il se pourrait donc que vous fassiez appel aux services de la société par l'intermédiaire des sites que vous consultez, d'autant que la firme compte pas moins de 5,5 millions de sites web comme client.
Selon Cloudflare, un bug (heureusement corrigé) aurait permis de laisser s'échapper des données sensibles, notamment des cookies, mots de passe et tokens d'authentification. La faille en question pourrait avoir été en place depuis le 22 septembre dernier, ce qui aurait laissé 5 mois à des individus mal intentionnés pour collecter des données auprès des clients du service.
Les données accessibles étaient particulièrement sensibles et si CloudFlare ne confirme le bug que maintenant, c'est aussi parce que ces données ont été stockées dans le cache de Google et d'autres moteurs de recherche. La firme estime que désormais, il n'y a plus aucune chance que ces données soient accessibles ni directement via les sites utilisant ses services, ni auprès des caches Internet. La société indique n'avoir également découvert aucune exploitation malveillante du bug.
C'est une série de facteurs qui a entrainé la faille, désormais nommée "CloudBleed" : quand l'analyseur HTML utilisé par Cloudflare pour modifier les pages Web lorsqu'elles transitent vers ses serveurs combinait les trois fonctionnalités masquage de courrier électronique, Cusexclude et réécriture automatique HTTPS, cela provoquait un dépassement de la mémoire dédiée.
Selon CloudFlare, seulement 150 clients auraient été concernés par ces fuites pour un total de seulement 770 pages Web. Un correctif a été mis en place depuis pour éviter que la faille ne se reproduise.
