Recherches récentes
Options de recherche
#ViePrivée
CloudFlare connaît vos mots de passe.
Ils en font même un article.
https://sebsauvage.net/links/?7eHQNQ
Hé les techies, on pourrait arrêter de trouver CloudFlare merveilleux alors que cette boîte récupère littéralement tous le trafic de vos utilisateurs ?
En sécurité informatique, ça s'appelle une attaque MITM.
Est-ce que la "protection" que vous apporte CloudFlare est assez intéressante pour livrer en contrepartie tous les mots de passe de vos utilisateurs à une boîte privée américaine ???
De ce que j'ai compris de la discussion, ils ne connaissent pas le mot de passe, ils comparent des hashs.
Si je me trompe c'est effectivement scandaleux, donc je veux bien qu'on m'explique ce que je n'ai pas compris.
@lienrag C'est eux qui calculent les hashs à partir des mots de passe en clair qu'ils interceptent. Les navigateurs n'envoient pas de hashs.
@lienrag
Ils voient tous le trafic en clair. Même https.
@sebsauvage oui un beau "Man-in-the-middle" mais c'est pour ta sécurité ...
Chez un gros client, il faisait ça quand tu faisait des requêtes à l'extérieur, mais ils avaient l'excuse de la sécurité (après vaut mieux le savoir et éviter de faire des trucs persos, tu sais pas qui peut voir ça). T'avais google avec un certificat grosclient.com
@sebsauvage @lienrag je suis pas connaisseur de cloudflare, mais j'imagine que c'est juste une option d'utiliser le certificat cloudflare pour TLS, et qu'on peut aussi utiliser son propre certificat, auquel cas CF ne voit que le trafic chiffré ?
C'est au final une bonne occasion d'interroger ses pratiques de sécurité et de ne pas céder à la facilité quand on utilise ce genre de service.
@sebsauvage @lienrag J'imagine /j'espère que ça fait partie des bonnes pratiques de sécurité reconnues de ne PAS utiliser ce genre de services, que ce soit chez cloudflare ou chez d'autres
@jotak
Non le but de CloudFlare est de te "protéger" contre les vilains et faire du cache, donc de filtrer toutes les requêtes. Donc ils doivent tout voir.
Je ne suis pas utilisateur de CloudFlare, mais je ne vois pas l'intérêt de leur service s'ils ne peuvent pas voir le contenu des échanges (tu ne peux pas faire cache, et tout le reste sans ça)
@sebsauvage @lienrag je suppose qu'on pourrait techniquement toujours avoir la protection ddos sur du traffic chiffré. Mais ouais pour le cache http en effet, il faut déchiffrer. Du coup oui c'est glaçant. Mais c'est pas seulement cloudflare dans ce cas, c'est tous les cdn
@sebsauvage @lienrag après en général, les gens mettent quoi sur cdn? Plutôt des resources statiques et publiques, non?
@jotak
Alors attention : CloudFlare c'est pas juste un CDN.
Leur offre phare, c'est le reverse-proxy, qui se targue :
- de te protéger des méchants (coucou les captcha) et des bots.
- de faire cache.
- de te protéger des DDOS.
- de te protéger des bots des boîtes d'IA.
- etc.
Ce qui inclue la partie dynamique.
Mais pour accomplir ce tâches, il ne suffit pas de servir du contenu statique.
Il faut activer examiner et filtrer toutes les interfactions d'un client avec le site web.
@sebsauvage @lienrag au passage, j'aime bien la fin de leur article:
"Cloudflare's connectivity cloud protects entire corporate networks [...] can help you on your journey to Zero Trust."
C'est mal barré pour le Zero Trust
@jotak @sebsauvage @lienrag Ah non moi j'ai zero confiance maintenant c'est bon
@lienrag bah si tu hashes les mots de passe tu mets un sel différent par utilisateur pour justement ne pas savoir s'ils ont le même mot de passe. Et éviter que quelqu'un qui découvre un mdp claque tous ceux qui ont le même hash.
Là c'est bien les mdp en clair qu'ils semblent comparer.
@gfadrelle @lienrag @sebsauvage Ca ne change rien qu'ils comparent des hash ou comment ils stockent les infos, dans tous les cas, comme ils servent de proxy, ils ont accès aux données en clair, c'est à dire le contenu des formulaires envoyés par exemple, donc aussi les mots de passe, c'est ça le problème. Perso je n'avais pas capté l'ampleur du problème. Mais bon je n'utilise pas leur services.
@philippe
J'essayais juste d'expliquer pourquoi normalement la comparaison de hash ne sert pas à grand chose pour des stats sur la réutilisation de mot de passe.
Après pour renforcer la sécu, pê utiliser un mécanisme qui résiste bien au MITM, peut être OTP mais il faut que l'enrôlement se fasse hors cloud flare.
Et de plus c'est illusoire, CloudFlare continuera de voir tes flux en clair et qqn de mal intentionné pourra toujours passer un ordre à ta place.
@philippe (et pourra même te cacher toute trace de cet ordre, n'est ce pas merveilleux ?)
Et même sécuriser avec du JS côté client c'est mort vu que CloudPhare pourra te générer le JS qu'il veut
Finalement je serais une agence d'espionnage, je monterais une société comme CloudFlare, ça me simplifierais mon boulot :D
@sebsauvage perso j'ai du mal a comprendre ce que tout le monde trouve de si bien a Cloudfare.
@EVOTk @sebsauvage ils vendent dela protection contre les ddos et de l'amélioration du temps de reponse, car ils ont des caches a tous les coins de la planete.
@f4grx @EVOTk @sebsauvage et c'est tellement bien marketé que des qu'il y a des probleme de perf sur un site le moindre pseudo dev web (aka BEAUCOUP) demande un front cloudflare pour "améliorer les perf".
Avant, je passais du temps a expliquer le pourquoi du comment, et généralement en quelques fichiers de conf c'était réglé. Maintenant c'est "fuck off, vous voulez pas apprendre la base, demerdez vous" (oui je deviens vieux et exaspéré par le manque de connaissances de base)
@sebsauvage Moi quand j'ai vu l'info je me suis surtout dis qu'ils comparaient les hash non ? J'suis pas un supporter mais ça serait bizarre qu'ils stockent en clair les mots de passe.
@bastien @sebsauvage ils les voient passer en clair car ils agissent comme des reverse proxy. Le client se connecte a cloud flare en https, leur serveur déchiffre, et renvoie une requête re-chiffrée au site original. Au passage ils gardent en cache tout ce qui est statique.
@f4grx make sense.
Merci pour la mise au clair 
@sebsauvage
Non y'a rien pour défendre un fournisseur de MitM as a Service x)
On avait une startup française nommé Acorus Networks qui aurait pu remplacer même si le test de la solution sur @lafibreinfo a montré que le produit n'était pas totalement prêt (mettre l'IP du serveur d'origine sur la page d'erreur de connexion - wtf).
Mais cela a été racheté par Volterra puis F5 et c'est devenu un produit USA.
@sebsauvage Les stats sur les attaques brute force sur WP ont le mérite d'être intéressantes : 
Le fait que cette boite chope les mots de passe en clair c'est glaçant...
@sebsauvage trop tard ils controlent 80% du web.
J'ai perso un peu envie de dire qu'ils n'ont qu'à continuer @f4grx . On sait les capitalistes capables de vendre la corde pour se faire pendre.
0n sait aussi nos jeunes capables d'aller en .onion. De suite ça fait moins rire (ou pas)
Le problème majeur avec CloudFlare, c'est qu'il n'y a AUCUNE option d'opt-out.
Et là on ne parle pas de cookies, mais de la totalité du trafic des sites qui l'utilisent.
Y compris les sites français.
Je ne vois pas comment ça peut être conforme au RGPD.
@sebsauvage : Internet c'est la mondialisation sociale (normalement). On ne peut pas jouer, et dans cette cour, et en même temps dans l'autre qui referme les nations sur elles-mêmes et que la France elle serait le centre du monde.
On ne veut plus de Frontières Copain. Pour le RGPD on fait comment on l'impose ?
@MonsieurBalarate
Donc on nivelle tout par le bas, et on abandonne l'idée de protéger notre vie privé face à de gigantesques intérêts privés qui vont pouvoir les exploiter librement ?
Ou alors on essaie de faire quelquechose ?
@sebsauvage Perso je me passe assez bien de CloudFlare ; quantité de requêtes arrières qui te vident de ta substance
@sebsauvage Bisou. Dieu reconnaîtra les siens (ha-ha !)
@MonsieurBalarate
Personne, absolument personne n'échappe probablement à CloudFlare.
J'ignore les proportions de sites qui utilisent CloudFlare, mais je doute qu'un seul internaute n'ai pas interagit sans le savoir à un moment ou un autre avec un reverse-proxy appartenant à CloudFlare.
C'est de toute façon invisible à moins d'aller mettre les mains dans le cambouis.
Effectivement la question se pose @sebsauvage
Perso Request Policy
https://hacktivis.me/articles/blocking%20cloudflare%20IP-range%20be%20like
@lanodan
Oh vache...
@MonsieurBalarate
@lanodan@queer.hacktivis je bloque perso Amazon et son cloud et ses solutions. Il existe plein des copains
@lanodan oh mince, tu mettrais en évidence que la décentralisation du fediverse se recentralise via cloudflare ?! On n'est pas sorti•es des ronces...
Et pareil à chaque fois qu'il y a des stats qui sortent Hetzner & OVH se retrouvent aussi dans le top 3.
@sebsauvage @MonsieurBalarate @f4grx Ça ne l'est pas mais tout le monde sans fous sans condamnation…
@sebsauvage @MonsieurBalarate @f4grx Pour le RGPD, je ne suis pas sur que ça pose légalement un problème (même si ça en pose un gros moralement).
Je suis loin d'être un expert dans le domaine, mais je me dis que si les login/mdp ne sont pas stockés, cela ne tombe pas forcément sous le coup de la loi.
Par contre, ils ont certainement l'obligation de protéger l'accès à ces données. Et de ne pas les stocker. Ce qu'ils ont certainement fait pour rédiger cet article.
@n1n1
Je ne suis pas juriste, mais je vois mal comment une boîte qui voit la *totalité* du trafic d'un site français pourrait s'exempter du RGPD avec un simple «Tinkiètes frère, j'écris rien sur disque !»
@f4grx @n1n1 @MonsieurBalarate @sebsauvage C’est au responsable du traitement de s’assurer que le sous-traitant (Cloudflare) respecte bien le RGPD. Mais Cloudflare affirme se conformer au US-EU data privacy framework sous lequel les normes US sont considérées par l’UE comme équivalentes au RGPD, ce qui facilite la chose. Après ça pourrait changer si Musk nous fait un oopsie en supprimant l’administration US chargée de ça 
@sebsauvage@framapiaf.org @MonsieurBalarate@mastodon.social @f4grx@chaos.social @n1n1@social.tchncs.de le RGPD porte plus sur le traitement des données que leur stockage pour le coup
@sebsauvage
& NextDNS (only), c'est pépouf, oubien ?
@fassil
ben... ça fait encore une boîte américaine qui vois ton trafic DNS (certes... que le DNS, mais quand même).
@sebsauvage @ffoodd Loin de moi l'idée de défendre Cloudflare mais :
- l'analyse n'a été faite que sur les sites ayant la règle "leaked credentials detection" activée (qui semble faire partie des règles par défaut en activant le WAF)
- c’est un fonctionnement inhérent à la fourniture du service de Web Application Firewall (sauf à utiliser un WAF local)
- dans la priorité des risques, le JS ajouté via les tag manager me semble bien plus problématique.
@sebsauvage Effectivement ils ne parlent pas des hash dans le descriptifs de leur fonctionnalité de détection de fuites... En même temps proxifier tout son trafic vers un tiers, c'est de fait un mitm avec consentement ;)
@sebsauvage sacré honeypot
Tu connais des alternatives ?
@sebsauvage nos applications font du chiffrage asymétrique pour les mots de passe.
Les antivirus, aussi, font du mitm, pour rendre leur service.
@biggrizzly @sebsauvage pour "l'advanced threat", pas pour le statique. Avec un jsshelter et un AV sur mes DL, pas besoin de MITM.
@sebsauvage a cause qu'ils ont ton certificat SSL ou un truc du genre?
C'est ça. En fait:
1) tu configure ton domaine pour pointer sur les DNS de CloudFlare au lieu des tiens.
2) quand on tape l'adresse de ton site, on tombe sur les serveur de CloudFlare qui ont les certificats (et donc déchiffrent tout le trafic).
3) ils font leur trucs (protection DDOS, cache, etc.)
4) ils forwardent le trafic à ton vrai site web.
Donc ils ont les certificats de ton site, ils déchiffrent TOUT.
@sebsauvage @sirber comment savoir si c'est un site qui utilise cloudfare ? Parce que si tu interroges le certificat, il va bien être du site demandé et légal donc ça sera totalement indétectable , non ?