Un chercheur en sécurité de 15 ans a découvert une vulnérabilité dans le réseau CDN de Cloudflare qui permet de localiser un utilisateur dans un rayon de 250 miles, soit environ 402 kilomètres, en passant par le système de mise en cache des contenus. La faille touche en particulier les applications Signal et Discord sans qu'aucune action de l'utilisateur ne soit nécessaire.
Celles et ceux qui ont lu Racine et se souviennent de la tirade de Rodrigue, dans Le Cid, « Je suis jeune, il est vrai, mais aux âmes bien nées, la valeur n'attend pas le nombre des années », pourront facilement l'attribuer à Daniel, un jeune chercheur en sécurité qui a identifié une faille dans le réseau de diffusion de contenu (CDN) de Cloudflare.
Il a démontré qu'un attaquant peut obtenir la localisation d'une personne en lui envoyant une image sur des applications de messagerie. La précision de la géolocalisation oscille entre 50 et 250 miles, soit un rayon d'entre 80 et 402 kilomètres environ, selon la concentration des centres de données Cloudflare dans la zone ciblée.
Le système de mise en cache du CDN : une porte dérobée pour la géolocalisation
Cloudflare stocke les contenus dans ses centres de données pour accélérer les temps de chargement. Le chercheur a développé un outil baptisé Cloudflare Teleport, qui exploite une faille dans Cloudflare Workers.
En clair, Cloudflare Workers est un service de calcul « serverless » (sans serveur) qui permet d'exécuter du code directement sur le réseau mondial de serveurs de Cloudflare. Les développeurs peuvent écrire des fonctions en JavaScript qui s'exécutent au plus près des utilisateurs, sans avoir à gérer l'infrastructure sous-jacente. C'est comme avoir de petits programmes qui tournent sur les serveurs Cloudflare partout dans le monde.
Pour revenir à notre petit génie et son Cloudflare Teleport, son fonctionnement est simple : il dirige les requêtes vers des centres de données choisis, en contournant les protections standards de Cloudflare. L'observation des réponses du cache depuis les différents centres de données permet d'identifier celui qui héberge l'image envoyée à la cible. La localisation est d'autant plus précise que la zone compte de nombreux centres de données. Le chercheur a documenté comment l'envoi d'une seule image suffit pour déclencher ce mécanisme de traçage.
Une vulnérabilité qui opère sans interaction utilisateur
Exploiter une faille, même si les répercussions sont moindres en matière de précision de la géolocalisation, c'est tout de même démontrer qu'une faille existe. Mais là où on peut se faire du souci, c'est que l'exploitation de cette faille ne nécessite aucune action de la part de la cible.
Prenons par exemple les applications Signal et Discord. Elles téléchargent automatiquement les images pour les notifications push, même quand l'utilisateur n'ouvre pas l'application. Sur Discord, une simple modification d'avatar associée à une demande d'ami active le processus. Cloudflare a corrigé le bug initial dans Workers et a payé 200 dollars, soit la rondelette somme de 192 euros et des poussières de prime à Daniel. Mais le chercheur en herbe a déniché une autre méthode avec des VPN : avec 3 000 serveurs dans 31 pays, il accède encore à 54 % des centres de données Cloudflare.
Signal et Discord ont déclaré que la protection de l'anonymat au niveau réseau ne fait pas partie de leurs attributions. Les utilisateurs peuvent de leur côté se protéger en désactivant le téléchargement automatique des médias et en refusant les contenus non sollicités. La faille reste exploitable malgré les correctifs apportés. Prudence, donc.
28 janvier 2025 à 09h18
Source : VPN Mentor
