Cloudflare a annoncé qu’il avait fermé toutes les connexions HTTP et qu’il n’acceptait désormais que les connexions HTTPS sécurisées pour api.cloudflare.com.
Ce déplacement empêche l’envoi de demandes d’API non chiffrées, même accidentellement, afin d’éliminer le risque que des informations sensibles soient exposées dans le trafic en texte clair avant que le serveur ne ferme la connexion HTTP et ne redirige vers un canal de communication sécurisé.
« À partir d’aujourd’hui, toute connexion non cryptée à api.cloudflare.com sera complètement rejetée », lit-on dans l’annonce de Cloudflare jeudi.
« Les développeurs ne doivent plus s’attendre à une réponse 403 Forbidden pour les connexions HTTP, car nous empêcherons l’établissement de la connexion sous-jacente en fermant complètement l’interface HTTP. Seules les connexions HTTPS sécurisées seront autorisées à être établies », a ajouté la société de services Internet.
L’API Cloudflare aide les développeurs et les administrateurs système à automatiser et à gérer les services Cloudflare. Il est utilisé pour la gestion des enregistrements DNS, la configuration du pare-feu, la protection contre les attaques DDoS, la mise en cache, les paramètres SSL, le déploiement de l’infrastructure, l’accès aux données d’analyse et la gestion des politiques d’accès et de sécurité zéro confiance.
Auparavant, les systèmes Cloudflare autorisaient l’accès aux API sur HTTP (non crypté) et HTTPS (crypté), soit en redirigeant, soit en rejetant HTTP.
Cependant, comme l’explique l’entreprise, même les requêtes HTTP rejetées peuvent divulguer des données sensibles telles que des clés API ou des jetons avant que le serveur ne réponde.
Un tel sceario est plus dangereux lorsque la connexion se fait sur des réseaux Wi-Fi publics ou partagés où les attaques de l’adversaire au milieu sont plus faciles à réaliser.
En désactivant entièrement les ports HTTP pour l’accès aux API, Cloudflare bloque les connexions en texte brut au niveau de la couche de transport avant tout échange de données, appliquant HTTPS dès le départ.
Impact et prochaines étapes
Le changement affecte immédiatement toute personne utilisant HTTP sur le service API Cloudflare. Les scripts, les robots et les outils reposant sur le protocole se briseront.
Il en va de même pour les systèmes hérités et les clients automatisés, les appareils IoT et les clients de bas niveau qui ne prennent pas en charge ou ne passent pas par défaut à HTTPS en raison d’une configuration incorrecte.
Pour les clients disposant de sites Web sur Cloudflare, la société se prépare à publier une option gratuite vers la fin de l’année qui désactivera le trafic HTTP de manière sécurisée.
Les données de Cloudflare indiquent qu’un pourcentage faible mais significatif d’environ 2,4% de tout Internet passant par ses systèmes se fait toujours via le protocole HTTP non sécurisé. Lorsque le trafic automatisé est pris en compte, la part HTTP grimpe à près de 17%.
Les clients peuvent suivre le trafic HTTP par rapport au trafic HTTPS sur leur tableau de bord sous Analytics & Logs > Trafic servi via SSL avant de s’inscrire, pour estimer l’impact que cela aura sur leur environnement.