Des pirates passent la cyberprotection de Cloudflare en utilisant… Cloudflare

Un chercheur en cybersécurité a dévoilé deux vulnérabilités du service de distribution de contenus Cloudflare. En les exploitant, des pirates peuvent lancer des cyberattaques contre des sites Internet protégés par Cloudflare.

Hacking de Cloudflare grace a Cloudflare
Crédits : 123RF

Vous connaissez peut-être le nom de Cloudflare sans trop savoir de quoi il s'agit. Cette entreprise de 2007 est à l'origine un réseau de distribution de contenus et de DNS. Elle s'est enrichie de tout un tas de services annexes comme la protection des sites Web qu'elle gère. En début d'année, Cloudflare a fait parler d'elle en devenant la cible de la plus grande attaque DDoS jamais vue. Ou plutôt les attaques collectives par saturation de service comme il faut les appeler.

Plus récemment, le chercheur en cybersécurité Stefan Proksch a découvert deux failles permettant aux pirates d'outrepasser la protection offerte par le service. Ironiquement, les hackers utilisent Cloudflare pour le faire. Il y a deux prérequis cependant : créer un compte gratuit et connaître l'adresse IP du serveur de la cible. Après cela, le pare-feu et la protection anti-attaque DDoS de Cloudflare sont quasi-ignorés.

En utilisant le service lui-même, des hackers font sauter la sécurité de Cloudflare

La première faille concerne le système s'assurant qu'une requête http ou https envoyée à un serveur provient de Cloudflare et non d'un pirate. Le propriétaire d'un site doit fournir un certificat pour activer la protection. Le problème est que tous les utilisateurs partagent un certificat commun. En l'utilisant, le hacker peut se faire passer pour le site qu'il vise, désactiver ses protections et lancer une attaque.

La deuxième faille est similaire. Elle exploite la liste des adresses IP autorisées par Cloudflare. Là aussi, il est possible de rediriger un domaine vers un autre créé par quelqu'un d'autre. Les protections sont ensuite levées et l'attaque part en passant par l’infrastructure de Cloudflare. Le chercheur a démontré à quel point il est facile d'utiliser ces deux failles et propose des mesures pour les corriger. Il a signalé ses trouvailles à l'entreprise en mars dernier, mais cela n'a pas été suivi d'effet. La firme n'a pas encore communiqué sur le sujet.

Source : Bleeping Computer


Réagissez à cet article !

Demandez nos derniers articles !

Cette TV OLED Philips 55 pouces avec Ambilight passe enfin sous les 1 000 € pendant les soldes

La TV Philips 55OLED850 de 2025 est proposée chez Boulanger à 999 €. C’est un prix intéressant pour une OLED de 55 pouces, avec la technologie Ambilight, l’interface Google TV…

Canicule : un Google Maps qui indique les trajets les plus frais, c’est l’idée formidable de ce développeur français

Alors que la France s’apprête à vivre son troisième épisode caniculaire, un développeur rennais a créé un outil gratuit centré autour d’un credo simple : “Marche à l’ombre”. On vous…

Microsoft Teams : désactiver facilement Copilot à la carte pendant vos réunions, ce sera très bientôt possible

Microsoft poursuit ses efforts pour améliorer Teams, son logiciel de visioconférence. Plusieurs nouveautés pour gagner en efficacité sont prévues, mais celle qui devrait vous séduire le plus est un bouton…

L’iPhone Air 2 sera bien plus intéressant que le premier modèle, cette fuite nous dit tout

L’iPhone Air 2 est bien en développement chez Apple, et il va intégrer des améliorations qui en feront une bien meilleure option que l’iPhone Air premier du nom. En septembre…

Samsung Galaxy Z Fold 8 et Z Flip 8 : prix, sortie, nouveautés, toutes les infos sur les nouveaux smartphones pliables

Samsung lance les Galaxy Z Fold 8 et Z Flip 8, ses derniers smartphones pliables. Cette génération est marquée par l’apparition d’un tout nouveau modèle, disposant d’un design inédit, afin…

Nintendo va arrêter de vendre les Switch 1, Switch OLED et Switch Lite en Europe

Nintendo annonce la fin des ventes de Switch 1, Switch OLED et Switch Lite en Europe pour début 2027. Les joueurs devront se rabattre sur l’occasion ou opter pour la…

La Nouvelle ID.3 Neo est disponible, quelles nouveautés pour la compacte 100 % électrique de Volkswagen ?

Volkswagen a lancé sa Nouvelle ID.3 Neo. La voiture compacte 100 % électrique bénéficie de bien des améliorations par rapport au dernier modèle, on fait le tour des nouveautés. Quand…

La Galaxy Tab A11+ tombe sous les 175 € : une tablette Samsung abordable et bien équipée

La Galaxy Tab A11+ devient bien plus accessible chez E.Leclerc. La tablette Samsung, avec 128 Go de stockage passe à 174 € au lieu de 279 €. De quoi économiser…

Odyssey G5 27 pouces : l’excellent écran gaming de Samsung passe à prix cassé jusqu’à ce soir seulement !

Quand on investit dans une config de PC gaming, on se retrouve très vite à devoir dépenser des sommes folles pour obtenir exactement ce que l’on souhaite. Heureusement, il est…

Plier et déplier le Galaxy Z Fold 8 n’aura jamais été aussi agréable sur un smartphone Samsung

Samsung inaugure une nouvelle technologie de charnière pour ses Galaxy Z Fold 8 et Galaxy Z Fold 8 Ultra. L’expérience de pliage et de dépliage des smartphones ne devrait en…