Les données personnelles d’utilisateurs de millions de sites internet sont dans la nature. En cause : une faille de sécurité affectant certains des services de CloudFlare, qu’exploitent des millions de sites internet.

CloudFlare sert notamment d’intermédiaire à deux millions de sites internet pour proposer leur version sécurisée HTTPS. Une simple coquille (un signe égal au lieu d’un signe égal ou supérieur à) a amené CloudFlare à mélanger des échanges.

Concrètement, ceci a amené certaines pages web à exposer des informations sensibles. Des moteurs de recherche ont ainsi référencé des données personnelles, telles que des mots de passe ou des jetons d’identification à des services en ligne.

Une toute petite fraction des requêtes étaient corrompues (une sur plus de 3 millions), mais ce n’est pas négligeable à l’échelle des milliards de requêtes que les millions de clients de CloudFlare ont traitées entre septembre 2016, date du début des fuites, et février 2017, date de sa découverte et de sa résolution.

Que faut-il faire ?

La probabilité que vos données d’identification soient dans la nature est réduite, mais réelle.

Les plus précautionneux sont donc invités à changer dès à présent leurs mot de passe sur tous les services exploitant CloudFlare, ainsi que sur tous ceux sur lesquels ils utilisaient les mêmes mots de passe. Le meilleur moyen de déterminer si un service exploite CloudFlare est d’utiliser le site Does it use CloudFlare?.

On peut notamment citer trois services populaires : Uber, Fitbit et OK Cupid.

Les autres attendront que les éditeurs de services en ligne ne prennent les mesures appropriées.

Google prend ses précautions ?

Par exemple, bien que Google n’exploite pas CloudFlare, il a réinitialisé par précaution les jetons de certains de ses utilisateurs, au cas où ils utiliseraient le même mot de passe sur plusieurs services. C’est la raison pour laquelle certains ont dû se reconnecter récemment.

Mise à jour : Contacté par FrAndroid, Google France nous a redirigé vers un tweet et vers une page d’aide : Google prend acte des problèmes de déconnexion, mais il les présente comme un dysfonctionnement distinct, et assure que la sécurité de ses utilisateurs n’a pas été compromise.