Tags : groumpfinformatiqueinternetnewssécuritétrucsAstucesutile


Salut à tous !

Comme vous le savez peut-être, des gens chez Google ont découvert une très ennuyeuse faille de sécurité chez CloudFlare, qui est utilisé par pas mal de sites web entres autres pour sa protection DDoS.
Le problème en question est que tout ce qui est passé par CloudFlare entre le 22 septembre dernier et vendredi dernier — oui, mots de passe envoyés pour la connexion à un site web compris — a pu fuiter sur le web.
En fait d'après ceux qui ont trouvé ce problème sont tombés sur plein de choses différentes au passage : des messages complets, des mots de passe, des bout de vidéos… bref c'est vraiment la fuite. (Non, mettre les couches de grand-père à CloudFlare ne marchera pas ! :P )

D'ailleurs les moteurs de recherche tels que Google, Bing, Yahoo et j'en passe ne se sont pas privés de ramasser tout ceci dans leurs caches — qui a dû être nettoyé, mais il reste probablement des choses non encore découvertes.

Une première liste de sites web potentiellement touchés a été constituée, pour pouvoir constater l'étendue des dégâts.

Bon, apparemment le souci est désormais corrigé donc par sécurité, il vaut mieux changer tous vos mots de passes sur les sites incriminés, que vous pouvez tester ici si vous n'êtes pas sûrs qu'ils passent par CloudFlare.
N'oubliez pas de les changer ailleurs aussi, si vous réutilisez vos mots de passe.

Si vous êtes comme moi sous Linux et utilisez firefox, celui-ci permet d'enregistrer - sous une forme chiffrée — vos logins/mdp, avec l'URL d'accès dans le fichier logins.json se trouvant dans le dossier de votre profil (sous Linux, généralement cela se trouve dans .mozilla/firefox/[nom bizarre].default/ depuis votre répertoire HOME).

Pour savoir si un site est derrière Cloudflare, il suffit de faire un curl -sI URL (-I demandant à n'avoir que les en-têtes de connexion, pas les données de la page elle-même), si « server: cloudflare-nginx » apparaît, alors le site passe par CloudFlare.

Nous pouvons utiliser ce fichier pour créer une liste d'URLs à tester, en faisant une petite boucle en shell qui utilise curl pour détecter l'en-tête dont je viens de vous parler.

La commande est certes un peu indigeste, mais fonctionne très bien :)

egrep -o '"hostname":"[^"]*"' logins.json |\
cut -d':' -f2- |\
tr -d '"' |\
sort -u |\
while read url; do
  if [ $(curl -sI $url -m 10|egrep -i 'cloudflare'|wc -l) -gt 0 ]; then
    echo -ne "\x1B[0K" >&2;
    echo "CL: $url";
  else 
    echo -ne "Testing $url\x1B[0K\x1B[1G" >&2;
  fi;
done |\
tee ~/cl_list.txt

Elle va récupérer la liste de tout ce qui ressemble à une URL dans le fichier, la met en forme en retirant ce qui est autour, et les teste une par une. Si l'en-tête est trouvé, une ligne « CF: [url] » est écrite sur le terminal et dans le fichier cl_list.txt dans votre répertoire HOME.

Bon courage !