February 28, 2017

[Demande à Steph] Cloudbleed: faut-il à nouveau changer vos mots de passe?

Préambule: fin février, j'ai écrit la newsletter ci-dessous (et je l'ai publiée sur mon blog, vu que c'était de l'actu). Vous ne l'avez pas reçue à cause d'un lien vers un site ("Does it use Cloudflare") qui était sur "liste noire" pour l'identification de spam. J'ai creusé, je n'ai pas réussi à comprendre pourquoi, le site paraît bien légitime. Mais il est sur cette liste (les faux positifs, ça arrive). En fin de compte, il ne m'est plus resté qu'à retirer le lien de cette newsletter (mais googlez-le seulement, on trouve facilement) et à vous l'envoyer avec... presque un mois de retard. Voici donc ci-dessous la newsletter originale. Si vous n'aviez pas entendu parler de Cloudbleed, l'inquiétude reste valable.

Ceux qui suivent un peu l'actu du web n'auront pas raté la dernière grosse faille de sécurité Cloudbleed. Si vous vivez dans le monde "normal", il y a des chances que vous n'en ayez pas entendu parler -- alors que ça vous concerne probablement.

Je vais résumer, puis vous dire quoi faire :-)

Résumé:

Cloudflare est un service de "cache", ça veut dire qu'il intervient pour soulager les serveurs web qui peinent à gérer un trop fort traffic. Vous savez, quand on veut acheter des billets pour le Paléo et que "rien ne marche"? C'est le serveur qui pétouille car trop de gens veulent s'y connecter en même temps. (Un cas typique où ça arrive c'est en cas d'attaque DDOS, je vous en avais parlé il y a quelque temps). 

Cloudflare prend le relais pour montrer lui-même les pages web demandées à la place du pauvre serveur surchargé. Le visiteur ne remarque rien. Par exemple, quand vous allez sur mon blog, c'est Cloudflare qui vous montre les pages, pas mon serveur. C'est un service super facile à mettre en place, donc super populaire.

Une petite erreur de programmation, et hop, les pages web servies par Cloudflare étaient susceptibles de contenir des informations aléatoires provenant d'autres sites, y compris mots de passe, messages privés, identifiants de session, etc (un identifiant de session c'est le machin qui fait qu'on "reste connecté" à un service sans devoir redonner son mot de passe tout le temps).

Ces pages web ont été enregistrées pendant des mois par les moteurs de recherche (Google et compagnie) et possiblement par d'autres services qui mettent en cache des pages web pour rendre leur chargement plus rapide (les navigateurs web font ça par exemple).

Cloudflare a réagi vite, réparé le problème, et fait purger autant que possible les informations indiscrètes des moteurs de recherche. On n'a pour le moment pas de preuve que ces données ont été utilisées à de mauvaises fins jusqu'ici -- mais le mal est fait: votre mot de passe Uber ou OKCupid se balade possiblement quelque part dans la nature.

Que faire?

Comme les mots de passe liés aux sites utilisant Cloudflare ont possiblement été compromis, il faut changer ces mots de passe. Je vous rappelle que l'enjeu en cas de fuite de mot de passe n'est pas "quelqu'un va lire vos mails" (ça, désolée, mais on s'en fout), mais plutôt "vos comptes vont être exploités pour arnaquer vos connaissances ou comme cyberarme pour influencer des élections à l'autre bout de la planète". J'explique tout ça dans mon article "c'est pas toi qu'on vise".

Quand on doit changer tout un tas de mots de passe, on se félicite d'utiliser un gestionnaire de mots de passe et d'avoir cessé depuis belle lurette d'essayer de les mémoriser.

(Rappel: si vous pouvez vous souvenir de vos mots de passe, ils ne sont pas assez forts. Seule exception: une poignée de mots de passe Diceware, pour votre e-mail principal et votre gestionnaire de mots de passe, par exemple. Explications.)

Un gestionnaire de mots de passe vient avec un générateur de mots de passe: le plus long c'est le mieux. Changer de mot de passe prend une minute, et comme il n'y a pas besoin de s'en souvenir, c'est tout ce qu'il y a à faire.

Quels mots de passe changer? Cloudflare est super populaire, et on ne "voit" pas qu'un site utilise Cloudflare quand on le consulte. On peut vérifier à l'aide du site, "Does it use Cloudflare?" (il faut le googler) -- tout en sachant qu'on est dans le monde des "possibles", qu'un site utilisant Cloudflare n'est pas nécessairement compromis, et qu'un site qui n'apparaît pas dans la liste n'est pas "garanti 100% sûr" non plus. Il y a aussi une liste sur GitHub (ils ont ratissé large).

Pour vous simplifier la tâche, commencez déjà par Uber, OKCupid, Medium, Le Temps, FitBit. S'il y a un bouton dans vos paramètres pour "déconnecter toutes les autres sessions", utilisez-le. 

Après, jetez un oeil sur la liste de GitHub pour voir si des sites que vous utilisez vous sautent aux yeux. Et mettez l'adresse de vos services favoris dans Does it use Cloudflare? pour vous assurer qu'il ne faut pas changer ces mots de passe là.

Et si vous êtes du genre à utiliser les mêmes mots de passe un peu partout... je vous conseille vraiment d'installer un gestionnaire de mots de passe et de tout changer. Ordre de priorité: email, facebook, admin de votre site web si vous en avez un, Twitter, Instagram...

Je vous entends soupirer, et je compatis. Le vie numérique demande tout un tas de compétences qu'on ne nous enseigne pas, et qu'il faut apprendre sur le tas. A nouveau, si vous nagez, faites-moi signe en répondant à ce mail et je regarde comment je peux vous aider!

Courage,

Steph
PS: quelques sources en français sur Cloudbleed: Cloudflare, pourquoi la fuite de données vous concerne, (Numerama), Bug chez Cloudflare: pensez à changer vos mots de passe (Libération), Cloudbleed: importante fuite de données chez Cloudflare, changez vos mots de passe (NextInpact)
PPS: vu le caractère "actu" de la newsletter d'aujourd'hui, elle est reproduite également sur Climb to the Stars.
--
http://eclau.ch | http://climbtothestars.org | http://stephanie-booth.com