Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

SHA1 et Cloudflare mis à mal : les RSSI auront encore pris 2 rides ce week-end

27 fév. 2017 - 16:00,
Tribune - Charles Blanc-Rolin
Quand les outils sensés nous protéger sont vulnérables, ils ne deviennent pas inefficaces, mais carrément néfastes !

Les chercheurs en sécurité de Google ont encore frappé fort avec l’annonce de deux énormes vulnérabilités qui vont secouer le secteur de l’IT ! #Cloudbleed et #Shattered.

cloudbleed

Le journal Le Monde a annoncé vendredi soir « Cloudbleed », le bug qui « n’aurait touché » qu’une petite partie des 5,5 millions de sites utilisant le service Cloudflare en permettant, et ce depuis septembre 2016, à de nombreuses données sensibles de s’évaporer dans la jungle du Web…
Cloudflare est un service de CDN [1] qui est souvent considéré comme « LA référence » en matière de protection contre les attaques DDOS [2]. Il est par conséquent utilisé par de très nombreux sites, comme Uber.com, FitBit.com, 1password.com ou encore NextImpact.com qui a été le premier site Français à traiter le sujet dans un article détaillant l’incident avec précision. Ceux sont donc les données envoyées par le biais de formulaires, bien souvent des identifiants accompagnés de mots de passe, mais aussi des données à caractère personnel ou encore des jetons d’authentification qui sont partis dans la nature, mais aussi dans les caches des moteurs de recherche… Même si Cloudflare annonce que seulement 150 de ses clients auraient été impactés par cette vulnérabilité et que 161 ( ?!) domaines auraient été purgés du cache de Google, il est difficile d’avoir une véritable idée de l’ampleur des dégâts. Pour le moment personne n’a annoncé détenir en masses des informations relatives à cette fuite de données, mais qui nous dit qu’une publication sur Pastebin (ou ailleurs) n’aura pas lieu dans les années à venir, comme ce fût le cas récemment pour Linkedin ou Yahoo.

On notera malgré tout le sérieux de Cloudflare qui a rapidement communiqué et résolu ce problème. Les sites utilisant ce service ont attaqué de communiquer, mais ils ne joueront peut-être pas tous la carte de la transparence.

cloudbleedmail

Il ne me reste plus qu’à vous conseiller de faire le tour des sites sur lesquels vous êtes inscrit pour changer rapidement vos mots de passe s’ils utilisent le service Cloudflare. Vous pouvez vous rendre sur le site doesitusecloudflare.com pour effectuer vos recherches.
Cet incident met en évidence le risque que représente une situation de monopole ou plus communément le fait de mettre tous ses œufs dans le même panier. Si nous ramenons ce risque au secteur de la santé, imaginez un tel incident affectant le site dmp.gouv.fr !

shattered

La deuxième découverte des chercheurs de Google porte sur la fonction de hachage cryptographique SHA1, dont on connait la faiblesse depuis plus de dix ans et qui a été officiellement dépréciée par le NIST [3] en 2011. Nous le savons, de nombreux outils permettent de faire marche arrière en retrouvant un contenu à partir d’un « hash ». Si vous n’êtes pas convaincu, vous pouvez saisir un mot (pas votre mot de passe bien-sûr ;-)) sur sha1.fr, copier le hash et le passer dans cet outil : https://isc.sans.edu/tools/reversehash.html, vous allez vite comprendre. N’oubliez pas que nos mots de passe Windows sont « hachés » avec SHA1, ce qui explique qu’il soit assez facile pour une personne ayant accès à votre machine de retrouver votre mot de passe.
SHA1 est aussi utilisé pour signer numériquement des fichiers, des documents, des transactions financières… et attester de leur intégrité. Le 24 février dernier, un collectif de chercheurs a annoncé publiquement avoir réussi à créer une collision entre deux fichiers distincts pour lesquels ils ont pu accorder le même hash, soit la même signature numérique SHA1 ! Vous pouvez retrouver tous les détails sur shattered.io.

shattered_files

Cette démonstration nous rappelle une nouvelle fois qu’il est grand temps de jeter cette fonction aux oubliettes et de passer à minima à SHA256.
Ces découvertes vont encore causer bien des tracas à l’ensemble du secteur IT.


[1] Content delivery network : que l’on pourrait traduire par réseau de diffusion de contenu

[2] Attaque par déni de service : envoie de requêtes en masse vers un serveur dans le but de le rendre inaccessible

[3] Le National Institute of Standards and Technology, que l’on pourrait traduire par « Institut national des normes et de la technologie » est une agence du département du Commerce des États-Unis

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.