Des milliers de sites web touchés par une faille de sécurité chez Cloudflare

JudgeHype | 24/02/2017 à 11h17 - 8

Cela ne concerne pas directement Blizzard, mais vu l'importance de l'événement, je pense que la news mérite sa place sur JH. Un gros problème de sécurité a en effet été découvert chez Cloudflare, qui annonce que des données sensibles tels que des mots de passe et cookies se sont retrouvés dans la nature. La société offre ses services (DDoS, CDN, DNS...) a des millions de sites web dont plusieurs sont régulièrement visités par certains d'entre-vous.

Le bug trouve son origine dans un parser HTML utilisé pour améliorer les performances des sites. Le leak remonte potentiellement au 22 septembre 2016, mais le problème concerne surtout les journées du 13 au 18 février, lorsque Tavis Ormandy, un employé du Project Zero de Google spécialisé dans la recherche de vulnérabilités, s'est rendu compte du problème. 

Pour ne rien arranger, les moteurs de recherche ont récupéré certaines infos et peuvent les afficher via leur cache. Cloudflare a donc dû contacter Google, Bing, Yahoo et compagnie afin de leur demander de virer les données concernées.

Même si Cloudflare tente de rassurer tout le monde en précisant que sur les 6 jours en question, seulement 0,00003% des requêtes sont concernées, cela n'en reste pas moins inquiétant au vu des sites majeurs que la société compte comme clients.

D'après cette page de Github, plus de 4 millions de sites pourraient être concernés. Dans la pratique, c'est probablement nettement moins. Je vous propose néanmoins de jeter un oeil à la liste ci-dessous, elle contient des sites que certains d'entre-vous fréquentent régulièrement:

  • 1password.com
  • 4chan.org
  • bitdefender.com
  • blizzardwatch.com
  • change.org
  • curse.com
  • curseforge.com
  • cyanogenmod.org
  • deadline.com
  • discordapp.com
  • feedly.com
  • fitbit.com
  • gameblog.fr
  • jquery.com
  • korben.info
  • mediapart.fr
  • mmo-champion.com
  • mobafire.com
  • pastebin.com
  • pcinpact.com
  • patreon.com
  • penny-arcade.com
  • reddit.com
  • t411.me
  • thepiratebay.org
  • uber.com
  • wowinterface.com
  • wow.gamepedia.com

Si vous ne disposez pas d'un compte chez eux, pas de souci, mais si c'est le cas, je vous invite à modifier votre mot de passe, surtout si vous utilisez ce mot de passe sur d'autres services, dont les jeux de Blizzard. D'une manière générale, n'utilisez jamais deux fois le même mot de passe !

Pour savoir si votre adresse e-mail est concernée par le leak, vous pouvez utiliser le site Haveibeenpwned.com, très pratique.

8 commentaires - [Poster un commentaire]


Chargement des commentaires...

Poster un commentaire

Vous devez vous identifier pour poster un commentaire.
Nombre de visites sur l'accueil depuis la création du site JudgeHype : 145.571.190 visites.
© Copyright 1998-2024 JudgeHype SRL. Reproduction totale ou partielle interdite sans l'autorisation de l'auteur. Politique de confidentialité.