Un bug logiciel disperse les données des utilisateurs
Une erreur dans le logiciel du prestataire de services web Cloudflare a intégré des données d'utilisateur secrètes dans des sites web étrangers.
Un bug logiciel chez le fournisseur d'accès à Internet Cloudflare a dispersé de manière aléatoire des données d'utilisateurs sensibles sur Internet. Dans certaines circonstances, la plate-forme incorporait les données des utilisateurs dans le code d'autres sites web. L'erreur a été active pendant plus de cinq mois, mais elle serait désormais corrigée selon Cloudflare. Un nombre particulièrement élevé de données a été touché entre le 13 et le 18 février.
Le fait que les pages concernées aient été mises en cache et indexées par des moteurs de recherche pose notamment problème. Il est donc possible que des informations privées soient toujours accessibles publiquement sur le web.
Parmi les sites web qui utilisent le service de Cloudflare, on trouve par exemple Fitbit, le service de taxi Uber, le fournisseur de mots de passe 1Password et le site de recherche partenaire OKCupid. Le bug ne s'est produit qu'avec une certaine version de HTML et une certaine combinaison de paramètres de Cloudflare ; théoriquement, 3000 clients du fournisseur pourraient être concernés.
C'est l'expert en sécurité de Google Travis Ormandy qui a découvert cette faille.
Comme on ne sait pas exactement quelles données sont concernées, les experts recommandent de changer les mots de passe pour chaque service en ligne. Certes, le risque d'être touché n'est pas vraiment important, mais les conséquences du bug sont imprévisibles.
