Cloudbleed : le bug qui cache la forêt
Le mois dernier, un bug a été découvert par Tavis Omandy (un chercheur d'une équipe de Google) dans l'un des programmes utilisés par Cloudflare, une société américaine qui fournit différents services aux opérateurs de sites Web : performances (l'activité originelle de l'entreprise), protection contre les attaques en déni de service, sécurisation par HTTPS/TLS, firewall applicatif, etc.
Le mois dernier, un bug a été découvert par Tavis Omandy (un chercheur d'une équipe de Google) dans l'un des programmes utilisés par Cloudflare, une société américaine qui fournit différents services aux opérateurs de sites Web : performances (l'activité originelle de l'entreprise), protection contre les attaques en déni de service, sécurisation par HTTPS/TLS, firewall applicatif, etc. Nous ne reviendrons pas ici sur cette faille, « Cloudbleed », qui a d'ailleurs été documentée par l'entreprise dans un « post-mortem » d'excellente qualité, ainsi que vulgarisée avec plus ou moins de réussite dans les médias. Mais ce bug, corrigé depuis, cache une autre réalité.
Dénis de service
Les attaques en déni de service (DoS) visent, comme leur nom l'indique, à rendre indisponible un service. Elles consistent généralement à saturer la cible de l'attaque en monopolisant ses ressources, par exemple sa connexion au réseau ou la puissance de calcul dont elle dispose. Par définition, pour qu'un DoS réussisse il faut que l'attaquant dispose d'une capacité supérieure à celle de la cible. Compte-tenu des capacités actuelles des serveurs et des data centers, de leur connectivité, c'est rarement le cas. De plus, ces attaques étant déclenchées depuis des sources uniques, elles sont assez faciles à bloquer.
Pour contourner ce problème, les attaquants utilisent différentes techniques. Ils peuvent par exemple tirer parti de mécanismes «...