Bug Cloudbleed: tout ce que vous devez savoir

Cloudbleed est le dernier bogue Internet qui met en péril les informations privées des utilisateurs. La nouvelle du virus a été annoncée tard jeudi, mais il y a déjà beaucoup de confusion à son sujet et son impact réel sur les informations des personnes.

Nous avons compilé ceci comme guide de Cloudbleed et de votre réponse. News of Cloudbleed est en cours, et nous mettrons à jour cet article à mesure que de nouveaux problèmes surviennent. Revenez pour de nouvelles informations.

Qu'est-ce que Cloudbleed?

Cloudbleed est le nom d'une faille de sécurité majeure de la société Internet Cloudflare qui a révélé des mots de passe d'utilisateurs et d'autres informations potentiellement sensibles à des milliers de sites Web pendant six mois. Le registre le décrit comme "s'asseoir dans un restaurant, soi-disant à une table propre, et en plus de recevoir un menu, on vous remet également le contenu du portefeuille ou du sac à main du diner précédent."

Le nom vient de Tavis Ormandy du Project Zero de Google, qui a signalé le bogue à Cloudflare et a plaisanté en l'appelant Cloudbleed après le bogue de sécurité de 2014, Heartbleed.

Cloudbleed est-il pire que Heartbleed?

À ce stade, non. Aussi effrayant que puisse paraître toute atteinte à la sécurité sur Internet, il en va tout autrement. Heartbleed a touché un demi-million de sites Web, alors qu’à l’heure actuelle, 3 400 seulement auraient eu le virus Cloudbleed.

Mais voici la partie potentiellement effrayante. Ces 3 400 sites Web ont divulgué des données privées provenant d’autres clients Cloudflare. Le nombre de sites Web réellement concernés pourrait donc être beaucoup plus élevé.

Cloudbleed est-il toujours activement dangereux?

Non. Pensez à Cloudbleed comme une personne survivant à une crise cardiaque. C'est effrayant et il faudra des changements pour l'empêcher de se reproduire. Mais le pire est passé pour l'instant.

S'il y a un avantage à cette histoire, c'est que Cloudflare a arrêté le bogue dans les 44 minutes qui ont suivi sa découverte et résolu le problème complètement dans les 7 heures.

Toutefois, il semblerait que le bogue affecte les sites Web depuis le mois de septembre, le plus fort de la violation ayant eu lieu entre le 13 et le 18 février. Il y aura donc des répercussions considérables lorsque les entreprises apprendront l'existence du bogue et si les informations de leurs clients était impliqué.

Qui est Cloudflare?

Cloudflare fournit une infrastructure Internet essentielle et une sécurité à des millions de sites Web. Cloudflare répertorie sur son site Web Nadaq, Bain Capital, OKCupid, ZenDesk et Cisco, entre autres, dans la section "Approuvé par".

Même si vous ne connaissez peut-être pas le nom Cloudflare, il est probable qu'un site Web visité utilise la société pour des raisons de sécurité ou de diffusion d'informations.

Quels sites Web ont été touchés?

À ce stade, nous savons qu'Uber, Fitbit et OKCupid étaient trois directement touchés, mais il y en a des milliers d'autres.

En réponse aux nouvelles de la fuite, les entreprises ont eu recours à Twitter pour reconnaître le bogue et rassurer leurs clients.

Combien de personnes sont à risque à cause de Cloudbleed?

C'est difficile à dire, mais c'est faible. Comme je l'ai mentionné plus haut, le bogue Cloudbleed a atteint son apogée entre le 13 et le 18 février. Dans un article sur son site Web, Cloudflare indique qu'au cours de cette période, environ 1 demande HTTP sur 3 300 000 via Cloudflare avait potentiellement entraîné une fuite de mémoire. Cette statistique a également été clarifiée pour représenter environ 0, 00003% des demandes.

Quels types d'informations ont été divulgués?

Lorsque vous consultez l'adresse Web d'un site Web sur lequel vous vous trouvez, vous voyez parfois "http" au début. Mais lorsque vous vous trouvez sur un site Web sécurisé, par exemple un écran de connexion à une banque ou un mot de passe, le symbole "https" apparaît au début pour indiquer que la page est sécurisée.

Des services tels que Cloudflare permettent de transférer en toute sécurité les informations saisies sur ces sites Web "https" entre les utilisateurs et les serveurs. Ce qui s’est passé ici, c’est que certaines de ces informations sécurisées ont été sauvegardées de manière inattendue alors qu’elles n’auraient pas dû l’être. Et pour aggraver les choses, certaines des informations sécurisées enregistrées ont été mises en cache par des moteurs de recherche tels que Google, Bing et Yahoo.

Cela aurait donc pu être un nom d'utilisateur ou un mot de passe, une photo ou des images d'une vidéo, ainsi que des éléments cachés tels que les informations sur le serveur et les protocoles de sécurité. À l'heure actuelle, rien n'indique que des pirates informatiques ont accédé à ces informations.

Que devrais-je faire?

Pour être honnête, rien de ce que vous faites maintenant ne pourra annuler ce qui est arrivé. Mais il y a des choses que vous pouvez faire pour vous protéger de telles choses qui se reproduisent avant le prochain incident de type Cloudbleed.

La première chose à faire est de changer les mots de passe de vos comptes utilisant Cloudflare. Fitbit, OKCupid et Medium sont quelques-uns, mais vous pouvez savoir si les sites Web que vous utilisez dépendent de Cloudfare avec cet outil.

Et si l'un de ces sites Web ou services propose une vérification en deux étapes (parfois appelée vérification à deux facteurs), utilisez-la. Cela garantit que même si quelqu'un devait récupérer votre mot de passe, il ne pourrait pas accéder à votre compte.

Nous vous recommandons également de contacter les sociétés des sites et services que vous utilisez et de leur faire savoir ce que vous pensez de la protection de votre sécurité et de votre vie privée. Même si certaines personnes s’inquiètent pour Cloudbleed, les entreprises seront également très inquiètes et l’écoute de leurs clients peut grandement contribuer à améliorer les choses pour tous.

Qu'est-ce qui se passe ensuite?

Encore une fois, les informations sur Cloudbleed sont devenues publiques à compter du 23 février et, dès que nous aurons de nouvelles informations sur le bogue, nous mettrons à jour cet article.

Culture technologique: du cinéma à la télévision, en passant par les médias sociaux et les jeux, voici l'endroit idéal pour la technologie.

CNET Magazine: Découvrez un échantillon des articles que vous trouverez dans l'édition en kiosque de CNET.

Articles Populaires

Trois choses à savoir sur l'USB Type-C

Obtenez une vue à 360 degrés du magasin Grand Central d'Apple à l'aide du gyroscope pour iPhone

Chrome pour Android ajoute un geste d'extraction

Comment utiliser WordPress en tant que CMS de base

Comment configurer un téléphone de secours

Collez facilement des caractères spéciaux dans n'importe quel champ de texte

 

Laissez Vos Commentaires