Quand une faille dans Cloudflare révèle votre localisation approximative
Cette actu vient secouer un petit peu le monde de la sécurité informatique car un jeune chercheur en sécurité de 15 ans a mis en lumière une faille dans le système de cache de Cloudflare qui permet de géolocaliser n’importe quel utilisateur d’applications comme Signal ou Discord. Et le plus inquiétant, c’est que cette technique fonctionne même sans que la victime n’ait à cliquer sur quoi que ce soit !
Pour bien comprendre, commençons par les bases. Cloudflare est un mastodonte du web qui héberge et accélère une grande partie des sites et des applications via son réseau CDN (Content Delivery Network) comprenant des centaines de serveurs répartis dans 330 villes à travers 120 pays. D’ailleurs c’est ce que j’utilise ici pour mon site depuis des années.
Le principe est simple : quand vous recevez une image sur Signal ou Discord, elle est automatiquement téléchargée depuis le serveur Cloudflare le plus proche de vous pour optimiser les performances. Et c’est là que ça devient intéressant… En analysant quel serveur a mis en cache l’image, on peut déterminer votre zone géographique avec une précision d’environ 400 km !
Je sais, on est laaaarge mais parfois, ça peut suffire pour trouver quelqu’un de précis quand on a des soupçons préalables. D’ailleurs, la technique est particulièrement vicieuse car elle ne nécessite aucune action de la part de la victime. Il suffit de :
- Envoyer une image unique via l’application
- Observer quel datacenter Cloudflare met l’image en cache
- En déduire la localisation approximative de l’utilisateur
Le plus inquiétant est que même si la personne n’ouvre jamais le message, le simple fait de recevoir une notification push suffit car l’application télécharge automatiquement l’image en arrière-plan. Dans le cas de Discord, même une simple demande d’ami peut déclencher ce mécanisme.
Cette vulnérabilité est particulièrement préoccupante pour certaines catégories d’utilisateurs :
- Les journalistes qui doivent protéger leurs sources
- Les activistes et dissidents qui risquent d’être localisés
- Les lanceurs d’alertes qui souhaitent rester anonymes
Le chercheur a d’ailleurs démontré la puissance de cette technique en localisant le CTO de Discord à San Francisco, prouvant qu’elle pouvait être utilisée pour traquer des cibles spécifiques.
Toutefois, face à cette découverte, les réactions ont été décevantes. Signal a rejeté le problème en expliquant que l’anonymat réseau n’était pas dans leur mission, considérant que c’était aux utilisateurs d’utiliser des VPNs ou Tor. Discord s’est contenté de renvoyer la balle à Cloudflare, qualifiant cela de “problème général avec un fournisseur de services”.
Et Cloudflare a attribué une prime de 200$ au chercheur et a corrigé la faille spécifique utilisée, mais d’autres méthodes restent exploitables via l’utilisation de VPNs.
En attendant une vraie solution, voici quelques recommandations :
- Utilisez un VPN pour masquer votre véritable localisation
- Désactivez les notifications push des applications sensibles
- Configurez Signal/Discord pour ne pas télécharger automatiquement les médias
- Privilégiez Tor pour les communications vraiment sensibles
En tout cas, cette découverte soulève la question de la responsabilité des acteurs techniques : qui doit prendre en charge la protection de la vie privée des utilisateurs ? Les applications ? Les fournisseurs d’infrastructure ? Les deux ? Les utilisateurs eux-même ?
Bref, restez vigilants et gardez à l’esprit que même une simple notification pourrait révéler votre position…
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).