Publicité en cours de chargement...
SHA1 et Cloudflare mis à mal : les RSSI auront encore pris 2 rides ce week-end
Les chercheurs en sécurité de Google ont encore frappé fort avec l’annonce de deux énormes vulnérabilités qui vont secouer le secteur de l’IT ! #Cloudbleed et #Shattered.
Le journal Le Monde a annoncé vendredi soir « Cloudbleed », le bug qui « n’aurait touché » qu’une petite partie des 5,5 millions de sites utilisant le service Cloudflare en permettant, et ce depuis septembre 2016, à de nombreuses données sensibles de s’évaporer dans la jungle du Web…
Cloudflare est un service de CDN [1] qui est souvent considéré comme « LA référence » en matière de protection contre les attaques DDOS [2]. Il est par conséquent utilisé par de très nombreux sites, comme Uber.com, FitBit.com, 1password.com ou encore NextImpact.com qui a été le premier site Français à traiter le sujet dans un article détaillant l’incident avec précision. Ceux sont donc les données envoyées par le biais de formulaires, bien souvent des identifiants accompagnés de mots de passe, mais aussi des données à caractère personnel ou encore des jetons d’authentification qui sont partis dans la nature, mais aussi dans les caches des moteurs de recherche… Même si Cloudflare annonce que seulement 150 de ses clients auraient été impactés par cette vulnérabilité et que 161 ( ?!) domaines auraient été purgés du cache de Google, il est difficile d’avoir une véritable idée de l’ampleur des dégâts. Pour le moment personne n’a annoncé détenir en masses des informations relatives à cette fuite de données, mais qui nous dit qu’une publication sur Pastebin (ou ailleurs) n’aura pas lieu dans les années à venir, comme ce fût le cas récemment pour Linkedin ou Yahoo.
On notera malgré tout le sérieux de Cloudflare qui a rapidement communiqué et résolu ce problème. Les sites utilisant ce service ont attaqué de communiquer, mais ils ne joueront peut-être pas tous la carte de la transparence.
Il ne me reste plus qu’à vous conseiller de faire le tour des sites sur lesquels vous êtes inscrit pour changer rapidement vos mots de passe s’ils utilisent le service Cloudflare. Vous pouvez vous rendre sur le site doesitusecloudflare.com pour effectuer vos recherches.
Cet incident met en évidence le risque que représente une situation de monopole ou plus communément le fait de mettre tous ses œufs dans le même panier. Si nous ramenons ce risque au secteur de la santé, imaginez un tel incident affectant le site dmp.gouv.fr !
La deuxième découverte des chercheurs de Google porte sur la fonction de hachage cryptographique SHA1, dont on connait la faiblesse depuis plus de dix ans et qui a été officiellement dépréciée par le NIST [3] en 2011. Nous le savons, de nombreux outils permettent de faire marche arrière en retrouvant un contenu à partir d’un « hash ». Si vous n’êtes pas convaincu, vous pouvez saisir un mot (pas votre mot de passe bien-sûr ;-)) sur sha1.fr, copier le hash et le passer dans cet outil : https://isc.sans.edu/tools/reversehash.html, vous allez vite comprendre. N’oubliez pas que nos mots de passe Windows sont « hachés » avec SHA1, ce qui explique qu’il soit assez facile pour une personne ayant accès à votre machine de retrouver votre mot de passe.
SHA1 est aussi utilisé pour signer numériquement des fichiers, des documents, des transactions financières… et attester de leur intégrité. Le 24 février dernier, un collectif de chercheurs a annoncé publiquement avoir réussi à créer une collision entre deux fichiers distincts pour lesquels ils ont pu accorder le même hash, soit la même signature numérique SHA1 ! Vous pouvez retrouver tous les détails sur shattered.io.
Cette démonstration nous rappelle une nouvelle fois qu’il est grand temps de jeter cette fonction aux oubliettes et de passer à minima à SHA256.
Ces découvertes vont encore causer bien des tracas à l’ensemble du secteur IT.
[1] Content delivery network : que l’on pourrait traduire par réseau de diffusion de contenu
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...