phhsnews.com


phhsnews.com / Qu'est-ce que Cloudflare, et a-t-il vraiment fouillé mes données sur Internet?

Qu'est-ce que Cloudflare, et a-t-il vraiment fouillé mes données sur Internet?


Au cours des derniers mois, un bug dans le célèbre service Cloudflare a pu exposer des données utilisateur sensibles, y compris des noms d'utilisateurs , mots de passe et messages privés - au monde en texte brut. Quelle est la taille de ce problème et que devez-vous faire?

Qu'est-ce que Cloudflare?

Cloudflare est un service qui offre des fonctionnalités de sécurité et de performance (entre autres) à un vaste réseau de sites Web. Il agit comme un proxy inverse, un intermédiaire entre vous-l'utilisateur et un site Web donné. Lorsque vous visiterez ce site, vous serez redirigé vers l'un des serveurs de Cloudflare au lieu des serveurs du site.

Cela permet à Cloudflare de s'assurer que vous êtes un utilisateur légitime (protégeant ainsi contre les attaques par déni de service), le site est plus rapide (car ils ont mis en cache certaines parties du site), et protège contre les temps d'arrêt (puisqu'ils ont plusieurs serveurs dans le monde entier et peuvent se rabattre sur n'importe quel serveur).

Cloudflare assure que les attaquants DDoS ne

En bref: Cloudflare vise à rendre les sites plus rapides et plus sûrs, et c'est un service que beaucoup de sites utilisent.

Que s'est-il passé? (Et qu'est-ce que "Cloudbleed?")

Malheureusement, rien n'est sécurisé à 100%, même si un site utilise un service comme Cloudflare, et que des bugs surviennent. Dans ce cas, Cloudflare a causé un problème de sécurité: un bogue dans le code proxy inverse qui analyse le code HTML a provoqué la fuite du contenu de la mémoire de certains serveurs Cloudflare dans certaines circonstances. (Certaines personnes se réfèrent à cela comme "Cloudbleed", un jeu du bug Heartbleed qui a également affecté une grande partie de l'Internet.)

Ces données pourraient avoir inclus toutes sortes de données sensibles, y compris les noms d'utilisateur, mots de passe, messages privés , Jetons OAuth, et beaucoup plus. Pire encore, certaines de ces données ont été indexées et mises en cache par certains moteurs de recherche (environ 700 pages, selon Cloudflare), donc si vous saviez quoi rechercher sur Google, vous pourriez trouver des données sensibles d'utilisateurs se connectant au moment d'un fuite

Si vous savez ce qu'il faut rechercher, vous pouvez trouver des informations sur les moteurs de recherche de Cloudflare.

Ce bug n'a pas été découvert depuis environ cinq mois et a été corrigé après avoir été découvert cette semaine. Cloudflare indique que «la plus grande période d'impact a été du 13 février au 18 février avec environ 1 sur 3 300 000 demandes HTTP via Cloudflare pouvant entraîner des fuites de mémoire (environ 0,00003% des demandes).»

Mais avec un service aussi populaire que Cloudflare, 0.00003% est encore beaucoup. Certaines personnes ont compilé une liste de sites qui utilisent Cloudflare, et il comprend plus de 4 millions de domaines, y compris Yelp, OkCupid, Uber, Authy, Medium, et beaucoup d'autres. (Certaines applications mobiles sont également concernées.)

Vous pouvez en savoir plus sur les détails techniques de ce bogue sur le blog de Cloudflare, mais cela ne vous intéressera probablement que si vous êtes programmeur, si vous êtes un utilisateur régulier d'Internet. , la seule chose que vous devez savoir est ...

Que dois-je faire?

Premièrement: ne paniquez pas trop. Tous les sites de cette liste de 4 millions d'utilisateurs ne transmettaient pas forcément d'informations sensibles: si un site utilisait simplement Cloudflare pour mettre en cache des données d'image, par exemple, il n'y aurait pas d'informations sensibles à divulguer. Et ce n'est pas comme si chaque fuite était une liste maîtresse de mots de passe - c'était des éléments d'information aléatoires, qui pouvaient inclure quelques noms d'utilisateur et mots de passe à un moment donné.

Cependant, Cloudflare a également noté l'une de leurs propres clés privées a été divulguée, ce qui aurait permis à un attaquant d'accéder à un grand nombre de données Cloudflare internes, y compris potentiellement des noms d'utilisateur et des mots de passe. Cloudflare était extrêmement vague sur ce point particulier, malgré le fait qu'il constitue un risque de sécurité majeur avec la possibilité de divulguer des informations beaucoup plus sensibles.

Cela dit, il n'y a pas vraiment de moyen de savoir si vos données ont été divulguées. le seul plan d'action sûr en ce moment est de changez tous vos mots de passe . (Bien sûr, vous pouvez parcourir la liste de 4 millions de sites et ne modifier que ceux utilisés par Cloudflare, mais honnêtement, il serait probablement plus facile et plus rapide de tout changer.)

Les règles habituelles avec mots de passe s'appliquent ici: n'utilisez pas le même mot de passe sur plusieurs sites, utilisez un gestionnaire de mots de passe comme LastPass et activez l'authentification à deux facteurs pour chaque site qui le permet. Si vous ne faites pas ces choses, le bug Cloudflare est probablement le moindre de vos soucis - après tout, les sites sont piratés tout le temps, et si vous utilisez le même mot de passe partout, toutes vos données sont régulièrement en danger.

Si vous utilisez déjà un gestionnaire de mots de passe, ce processus devrait être facile (s'il est un peu long et ennuyeux). Mais tu devrais être habitué à cette danse maintenant.


Comment changer rapidement les périphériques audio sur l'iPhone

Comment changer rapidement les périphériques audio sur l'iPhone

Il y a peu de choses plus ennuyeuses dans la vie que de passer un appel téléphonique depuis votre iPhone, puis de se rendre compte qu'il est connecté à votre enceinte Bluetooth- qui n'ont pas de microphone. Crier "Pouvez-vous m'entendre maintenant?" Au téléphone n'est jamais un bon coup d'oeil. Heureusement, sur iOS, vous pouvez utiliser le Centre de contrôle pour changer rapidement l'appareil auquel votre iPhone est connecté.

(how-top)

Comment voir les stratégies de groupe appliquées à votre PC et à votre compte utilisateur

Comment voir les stratégies de groupe appliquées à votre PC et à votre compte utilisateur

Nous vous avons montré beaucoup de trucs et astuces au cours des années qui impliquent la modification de la stratégie de groupe locale. Si vous voulez voir tous les paramètres de la stratégie de groupe en vigueur sur votre PC, voici comment procéder: Dans le monde Windows, la stratégie de groupe permet aux administrateurs réseau d'affecter des paramètres spécifiques à des groupes d'utilisateurs ou d'ordinateurs.

(how-top)

Des Articles Intéressants