Des pirates passent la cyberprotection de Cloudflare en utilisant… Cloudflare

Un chercheur en cybersécurité a dévoilé deux vulnérabilités du service de distribution de contenus Cloudflare. En les exploitant, des pirates peuvent lancer des cyberattaques contre des sites Internet protégés par Cloudflare.

Hacking de Cloudflare grace a Cloudflare
Crédits : 123RF

Vous connaissez peut-être le nom de Cloudflare sans trop savoir de quoi il s'agit. Cette entreprise de 2007 est à l'origine un réseau de distribution de contenus et de DNS. Elle s'est enrichie de tout un tas de services annexes comme la protection des sites Web qu'elle gère. En début d'année, Cloudflare a fait parler d'elle en devenant la cible de la plus grande attaque DDoS jamais vue. Ou plutôt les attaques collectives par saturation de service comme il faut les appeler.

Plus récemment, le chercheur en cybersécurité Stefan Proksch a découvert deux failles permettant aux pirates d'outrepasser la protection offerte par le service. Ironiquement, les hackers utilisent Cloudflare pour le faire. Il y a deux prérequis cependant : créer un compte gratuit et connaître l'adresse IP du serveur de la cible. Après cela, le pare-feu et la protection anti-attaque DDoS de Cloudflare sont quasi-ignorés.

En utilisant le service lui-même, des hackers font sauter la sécurité de Cloudflare

La première faille concerne le système s'assurant qu'une requête http ou https envoyée à un serveur provient de Cloudflare et non d'un pirate. Le propriétaire d'un site doit fournir un certificat pour activer la protection. Le problème est que tous les utilisateurs partagent un certificat commun. En l'utilisant, le hacker peut se faire passer pour le site qu'il vise, désactiver ses protections et lancer une attaque.

La deuxième faille est similaire. Elle exploite la liste des adresses IP autorisées par Cloudflare. Là aussi, il est possible de rediriger un domaine vers un autre créé par quelqu'un d'autre. Les protections sont ensuite levées et l'attaque part en passant par l’infrastructure de Cloudflare. Le chercheur a démontré à quel point il est facile d'utiliser ces deux failles et propose des mesures pour les corriger. Il a signalé ses trouvailles à l'entreprise en mars dernier, mais cela n'a pas été suivi d'effet. La firme n'a pas encore communiqué sur le sujet.

Source : Bleeping Computer


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Ce milliardaire a son Starship pour Mars, il manque juste une chose : savoir quand

SpaceX a choisi un timing inattendu pour annoncer son premier vol privé vers Mars. Derrière ce projet se cache un milliardaire de la crypto, déjà rodé aux voyages spatiaux. Et…

Ninja CREAMi Scoop & Swirl : le pack complet devient plus accessible grâce à ce code !

Ça y est, l’été approche et les beaux jours sont enfin là. C’est le moment parfait pour faire vos glaces maison ! Ninja vous facilite la vie avec la CREAMi…

Steam : grâce à cette option cachée, apprenez pourquoi vos jeux PC tournent mal et comment y remédier

Si votre PC se fait vieillissant ou simplement si vous avez mal réglé les paramètres graphiques de votre jeu, il se peut que celui-ci tourne mal. Mais entre tous les…

La 2CV électrique est officielle et elle promet d’être le VE le moins cher d’Europe

Une icône de l’automobile française est sur le point de ressusciter en version électrique. Pour l’annoncer, Citroën a lâché deux chevaux au galop dans Paris. Le prix promis devrait faire…

Test de l’aspirateur-balai sans fil Shark PowerDetect Speed Pet Pro Clean & Empty : simple et efficace !

PowerDetect Speed Pet Pro Clean & Empty : derrière ce nom à rallonge se cache le nouvel aspirateur balai sans fil de Shark. Un produit au tarif ajusté qui apporte…

Avec iOS 27, l’iPhone va sous-titrer automatiquement vos vidéos

Apple a annoncé de nouvelles fonctionnalités d’accessibilité à venir sur l’iPhone, dont le sous-titrage automatique des vidéos. Surprise, Apple a annoncé de nouvelles options d’accessibilité pour l’iPhone par voie de…

Redmi 15C : le smartphone Xiaomi chute à moins de 70 €, c’est vraiment pas cher du tout !

Dans la catégorie des smartphones vraiment pas chers, le Xiaomi Redmi 15C est sans nul doute l’une des meilleures options. En ce moment, il est en promotion à moins de…

Xiaomi lance son Smart Band 10 Pro, un bracelet connecté à petit prix avec un meilleur suivi du sommeil et de la santé

Le Xiaomi Smart Band 10 Pro a été officialisé. Il conserve un prix abordable tout en améliorant plusieurs fonctionnalités du modèle précédent. Les bracelets connectés de Xiaomi sont plébiscités par…

Piratage : de nouvelles mesures de blocage contre les plateformes de streaming et d’IPTV illégales

La Ligue de Football Professionnel s’attaque désormais aux bureaux d’enregistrement de noms de domaine dans sa lutte contre le piratage. Elle vient d’obtenir une victoire importante en justice. Les mesures…

Bon plan DJI Osmo Nano : à ce prix-là, cette caméra d’action ne va pas rester longtemps en stock !

Vous cherchez une caméra compacte et simple d’utilisation ? La DJI Osmo Nano est idéale pour immortaliser vos vacances actives à la mer ou à la montagne. Normalement en vente…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.