Attention, une nouvelle menace émerge dans le paysage numérique et elle concerne directement les services Cloudflare Pages et Cloudflare Workers. Ces plateformes, normalement destinées à héberger vos projets web et vos applications serverless sur le réseau CDN mondial de Cloudflare, sont dorénavant devenues le terrain de jeu préféré des cybercriminels.

Une augmentation alarmante des attaques

Les experts en cybersécurité de Fortra viennent de tirer la sonnette d’alarme concernant les domaines pages.dev et workers.dev de Cloudflare. Les chiffres sont particulièrement inquiétants : Cloudflare Pages a enregistré 1370 incidents jusqu’à mi-octobre 2024, soit une hausse vertigineuse de 198% par rapport aux 460 cas recensés en 2023. La situation n’est guère plus rassurante du côté de Cloudflare Workers, avec 4999 incidents détectés contre 2447 l’année précédente, marquant une augmentation de 104%.

Avec une moyenne mensuelle de 137 incidents pour Pages et 499 pour Workers, les projections sont préoccupantes : les experts estiment que ces chiffres pourraient atteindre respectivement 1600 et 6000 incidents d’ici la fin de l’année.

Pourquoi les pirates adorent Cloudflare ?

L’attrait de Cloudflare pour les cybercriminels s’explique par une combinaison de facteurs techniques et stratégiques. La plateforme bénéficie d’une réputation irréprochable dans l’industrie, renforcée par son système de chiffrement SSL/TLS automatique qui confère une apparence légitime aux sites malveillants. Son infrastructure CDN mondiale assure des performances optimales, tandis que ses coûts d’utilisation minimaux permettent aux attaquants de déployer rapidement leurs opérations. De plus, la fonction de reverse proxy offre la possibilité de masquer efficacement l’origine du contenu malveillant, complexifiant ainsi la détection et le blocage des attaques.

Les techniques d’attaque dévoilées

1. L’attaque par redirection sur Pages

1. Envoi d’un email avec une demande de consultation de document
2. Le lien télécharge un PDF frauduleux contenant une redirection
3. Redirection vers une fausse page OneDrive pour plus de crédibilité
4. Redirection finale vers une page de phishing Office365

2. L’exploitation de Workers

La plateforme serverless Cloudflare Workers est devenue un outil polyvalent pour les cybercriminels. Ils l’exploitent notamment pour créer de fausses pages de vérification CAPTCHA, particulièrement convaincantes grâce à l’infrastructure Cloudflare. Les attaquants utilisent également cette technologie pour orchestrer des attaques DDoS sophistiquées, injecter des scripts malveillants dans des sites légitimes, et mener des campagnes de force brute contre les systèmes d’authentification. Plus inquiétant encore, certains parviennent à mettre en place des mécanismes d’exfiltration de données sensibles, profitant de la fiabilité et de la rapidité du réseau Cloudflare.

3. La tactique du “bccfoldering”

Les pirates masquent également l’ampleur de leurs campagnes en utilisant le champ BCC pour cacher les destinataires, en rendant impossible la détection du nombre réel de cibles et bien sûr en contournant les systèmes de sécurité traditionnels

Alors comment se protéger ?

Pour les utilisateurs

La protection contre ces menaces repose sur trois piliers fondamentaux. Premièrement, la vérification systématique des URLs est cruciale : prenez le temps d’examiner l’adresse complète avant toute action, méfiez-vous particulièrement des domaines .dev suspects, et rappelez-vous que la présence du HTTPS n’est pas une garantie absolue de sécurité.

La sécurisation des comptes constitue le deuxième pilier essentiel. L’activation de l’authentification à deux facteurs, l’utilisation de mots de passe robustes et uniques, ainsi qu’une surveillance régulière de l’activité de vos comptes sont des pratiques indispensables pour maintenir un niveau de sécurité optimal.

Enfin, la vigilance numérique quotidienne est primordiale. Évitez systématiquement les téléchargements depuis des liens douteux, prenez l’habitude de vérifier l’authenticité des expéditeurs, et n’hésitez pas à contacter directement les services concernés en cas de doute sur la légitimité d’une communication.

Pour les développeurs

Sécurisation des déploiements

# Configuration pour bloquer les domaines suspects
location / {
if ($http_referer ~* (pages\.dev|workers\.dev)) {
return 403;
}
}

Le monitoring proactif constitue une ligne de défense essentielle pour les développeurs. Au-delà de la simple implémentation de systèmes de détection d’intrusion, il est crucial de mettre en place une surveillance approfondie des logs d’accès suspicieux et de configurer des alertes automatisées pour toute activité anormale. Cette vigilance continue permet une réaction rapide face aux tentatives d’exploitation malveillante.

La protection de l’infrastructure nécessite une approche méthodique et rigoureuse. Il est essentiel de maintenir toutes les dépendances à jour, d’appliquer rapidement les correctifs de sécurité dès leur publication, et d’adopter une politique de gestion des permissions stricte, limitant les accès au strict nécessaire. Cette stratégie défensive multicouche permet de réduire significativement la surface d’attaque potentielle.

Conclusion

Face à cette menace croissante, la vigilance collective est cruciale. Les attaquants exploitent la confiance accordée à Cloudflare pour mener leurs activités malveillantes, mais des mesures de protection efficaces existent, donc comme d’hab, restez informés, appliquez les bonnes pratiques et signalez tout comportement suspect à Cloudflare pour contribuer à la sécurité globale de l’écosystème.

Plus de détails sur Bleeping Computer