Un chercheur en sécurité a découvert une faille dans le réseau de diffusion de contenu (CDN) de Cloudflare, qui pouvait révéler l’emplacement général d’une personne en lui envoyant simplement une image sur des plateformes telles que Signal et Discord.
Bien que la capacité de géolocalisation de l’attaque ne soit pas assez précise pour le suivi au niveau de la rue, elle peut fournir suffisamment de données pour déduire dans quelle région géographique vit une personne et surveiller ses mouvements.
La découverte de Daniel est particulièrement préoccupante pour les personnes qui sont très préoccupées par leur vie privée, comme les journalistes, les militants, les dissidents et même les cybercriminels.
Cependant, pour les forces de l’ordre, cette faille pourrait être une aubaine pour les enquêtes, leur permettant d’en savoir plus sur le pays ou l’État où un suspect peut être localisé.
Suivi furtif en 0 clic
Il y a trois mois, un chercheur en sécurité nommé Daniel a découvert que Cloudflare met en cache les ressources multimédias dans le centre de données le plus proche de l’utilisateur pour améliorer les temps de chargement.
« Il y a 3 mois, j’ai découvert une attaque de désanonymisation unique en 0 clic qui permet à un attaquant de saisir l’emplacement de n’importe quelle cible dans un rayon de 250 miles », a expliqué Daniel.
« Avec une application vulnérable installée sur le téléphone d’une cible (ou en tant qu’application d’arrière-plan sur son ordinateur portable), un attaquant peut envoyer une charge utile malveillante et vous désanonymiser en quelques secondes and et vous ne le sauriez même pas.
Pour mener l’attaque de divulgation d’informations, le chercheur enverrait un message à quelqu’un avec une image unique, qu’il s’agisse d’une capture d’écran ou même d’un avatar de profil, hébergé sur le CDN de Cloudflare.
Ensuite, il a exploité un bogue dans Cloudflare Workers qui permet de forcer les demandes via des centres de données spécifiques à l’aide d’un outil personnalisé appelé Cloudflare Teleport.
Ce routage arbitraire est normalement interdit par les restrictions de sécurité par défaut de Cloudflare, qui imposent que chaque demande soit acheminée depuis le centre de données le plus proche.
En énumérant les réponses mises en cache de différents centres de données Cloudflare pour l’image envoyée, le chercheur pouvait cartographier l’emplacement général des utilisateurs en fonction du CDN renvoyant le code d’aéroport le plus proche à proximité de leur centre de données.
De plus, étant donné que de nombreuses applications téléchargent automatiquement des images pour les notifications push, y compris Signal et Discord, un attaquant peut suivre une cible sans interaction de l’utilisateur, ce qui en fait une attaque sans clic.
La précision de suivi varie entre 50 et 300 miles, selon la région et le nombre de centres de données Cloudflare à proximité. La précision autour des grandes villes devrait être meilleure que dans les zones rurales ou moins peuplées.
En expérimentant la géolocalisation du directeur technique de Discord, Stanislav Vishnevskiy, le chercheur a découvert que Cloudflare utilise le routage anycast avec plusieurs centres de données à proximité traitant une demande pour un meilleur équilibrage de charge, permettant une précision encore meilleure.
Réponse des plateformes affectées
Comme indiqué pour la première fois par 404 Media, le chercheur a divulgué ses conclusions à Cloudflare, Signal et Discord, et le premier l’a marqué comme résolu et lui a attribué une prime de 200$.
Daniel a confirmé que le bogue Workers avait été corrigé, mais en reprogrammant Teleport pour utiliser un VPN pour tester différents emplacements CDN, les attaques de géolocalisation sont toujours possibles, même si elles sont un peu plus lourdes maintenant.
« J’ai choisi un fournisseur VPN avec plus de 3 000 serveurs situés à divers endroits dans 31 pays différents à travers le monde », explique le chercheur dans son article.
« En utilisant cette nouvelle méthode, je peux à nouveau atteindre environ 54% de tous les centres de données Cloudflare. Bien que cela ne semble pas beaucoup, cela couvre la plupart des endroits dans le monde avec une population importante. »
En réponse à une demande ultérieure, Cloudflare a déclaré au chercheur qu’il incombait en fin de compte aux utilisateurs de désactiver la mise en cache.
Discord a rejeté le rapport en tant que problème de Cloudflare, tout comme Signal, notant qu’il est hors de la portée de leur mission de mettre en œuvre des fonctionnalités d’anonymat de la couche réseau.
Breachtrace a contacté Signal, Discord et Cloudflare pour obtenir un commentaire sur les conclusions du chercheur.
Un porte-parole de Cloudflare nous a dit ce qui suit:
« Cela a été divulgué pour la première fois en décembre 2024 via notre programme de primes aux bogues, étudié et immédiatement résolu. La possibilité de faire des demandes à des centres de données spécifiques via le projet « Cloudflare Teleport » sur GitHub a été rapidement abordée – comme le mentionne le chercheur en sécurité dans sa divulgation. Nous pensons que les primes de bogues sont un élément essentiel de la boîte à outils de chaque équipe de sécurité, et continuons d’encourager les tiers et les chercheurs à continuer de signaler ce type d’activité pour examen par notre équipe. »- Porte-parole de Cloudflare