Cloudflare, acteur clé d'Internet, bloque Pale Moon et d'autres navigateurs,

Alimentant les inquiétudes des utilisateurs

Cloudflare, acteur clé d’Internet, bloque Pale Moon et d’autres navigateurs,
alimentant les inquiétudes des utilisateurs

L’approche de Cloudflare en matière de sécurité et de gestion du trafic web soulève des préoccupations croissantes parmi les utilisateurs des navigateurs moins populaires. En cherchant à identifier et bloquer les bots ainsi que les menaces potentielles, Cloudflare adopte des méthodes de détection qui semblent pénaliser des navigateurs moins connus, les rendant inutilisables sur un grand nombre de sites protégés par son infrastructure. Ce phénomène, loin d’être isolé, persiste depuis des années malgré les signalements récurrents. Si certains défendent Cloudflare en raison des services essentiels qu’il fournit à moindre coût, d’autres pointent du doigt son manque de réactivité face aux erreurs de filtrage et l’absence de solutions accessibles aux utilisateurs finaux.

Cloudflare est l'une des douzaines d'entreprises qui assurent discrètement le fonctionnement d'Internet, en aidant 36 millions de pages Web par seconde à atteindre les internautes comme prévu. La dépendance croissante des sites web à cette plateforme exacerbe le problème, limitant la diversité des navigateurs et renforçant une centralisation du contrôle sur l’accès à Internet. Ces décisions techniques, qui semblent parfois arbitraires, posent alors une question plus large : Cloudflare contribue-t-il réellement à un Internet plus sûr ou façonne-t-il, volontairement ou non, un web de plus en plus fermé et contrôlé ?


Cloudflare ne se limite pas à offrir des caches locaux rapides pour optimiser le chargement des sites web à fort trafic ; il met également en place des mesures de sécurité visant à bloquer les réseaux de robots et les attaques DDoS en filtrant les activités jugées suspectes. Parmi ces dernières figurent notamment les machines intégrées à des botnets et exécutant des scripts automatisés. L’une des méthodes utilisées pour les identifier repose sur l’analyse de l’agent utilisateur du navigateur : si celui-ci ne correspond pas à un navigateur largement reconnu, il est automatiquement bloqué. Ce processus devient problématique lorsque la liste des navigateurs considérés comme légitimes se limite à quelques grands noms, principalement Chrome et Firefox dans leurs versions les plus récentes.

Ce problème n’est pas nouveau. Malgré les correctifs et mises à jour occasionnels, les blocages persistent et reviennent régulièrement. Des signalements faisant état de restrictions imposées par Cloudflare remontent à 2015 et se sont poursuivis jusqu’en 2022. Plus récemment, au cours de l’année écoulée, The Register a recensé plusieurs cas de blocages en mars, en juillet 2024, ainsi qu’en janvier de cette année.

Les utilisateurs de navigateurs alternatifs tels que Pale Moon, Falkon et SeaMonkey sont particulièrement affectés. Les notes de version de Pale Moon indiquent même que des ajustements ont été apportés pour contourner ce problème récurrent, qui se traduit souvent par des boucles infinies ou des plantages. Même Firefox 115 ESR, dernière version compatible avec macOS 10.13 et Windows 7, est concerné, ce qui complique la navigation pour les utilisateurs de ces systèmes. Parmi les sites affectés figurent notamment science.org, steamdb.info, convertapi.com, et, de manière ironique, le forum communautaire de Cloudflare lui-même.

Selon certains témoignages sur Hacker News, d’autres facteurs peuvent également être considérés comme suspects par Cloudflare, comme la simple requête d’une URL sans ID de référence. Ce qui, pour un utilisateur soucieux de sa confidentialité et limitant le suivi en ligne, relève d’une bonne pratique de cybersécurité, est interprété par le fournisseur CDN comme une activité non humaine.

Pour ne rien arranger, Cloudflare réserve son support technique aux clients payants, laissant les utilisateurs bloqués sans solution directe, si ce n’est de signaler leurs problèmes sur les forums communautaires, où les plaintes répétées suggèrent un manque d’attention de l’entreprise sur ces questions. Nous avons sollicité Cloudflare pour un commentaire et mettrons à jour cet article en cas de réponse.

Cloudflare s’effondre et entraîne une partie du web dans sa chute

Le 21 juin 2022, une panne majeure a entraîné l'effondrement d'une grande partie du web, affectant le trafic dans 19 centres de données Cloudflare. Ces sites, qui gèrent une part significative du trafic mondial, ont été impactés par un changement de configuration dans le cadre d’un projet à long terme visant à renforcer la résilience des infrastructures les plus sollicitées. Malheureusement, cette modification a eu des conséquences imprévues, entraînant une interruption massive du service.

L’origine du problème réside dans une modification des politiques d’annonce de préfixes de Cloudflare, ce qui a conduit au retrait accidentel d’un sous-ensemble critique d’adresses IP. Cloudflare repose sur le protocole BGP (Border Gateway Protocol), qui permet aux opérateurs de définir quelles adresses IP sont annoncées ou acceptées par les réseaux partenaires.

Depuis 18 mois, l’entreprise travaille à transformer ses centres de données les plus sollicités en une architecture plus flexible et résiliente. À ce jour, 19 centres de données ont été convertis à cette nouvelle structure, baptisée en interne Multi-Colo PoP (MCP). Parmi les sites concernés figurent Amsterdam, Atlanta, Ashburn, Chicago, Francfort, Londres, Los Angeles, Madrid, Manchester, Miami, Milan, Mumbai, Newark, Osaka, São Paulo, San Jose, Singapour, Sydney et Tokyo.

Détails techniques de l'incident

Dans le cadre de la standardisation de son infrastructure, Cloudflare a déployé un changement visant à uniformiser les communautés BGP attachées à un sous-ensemble de ses préfixes. Ces préfixes jouent un rôle clé dans la communication entre les serveurs internes et les connexions aux origines des clients. Avant la mise en production, un ticket de modification avait été créé, incluant des tests préalables et un déploiement progressif, avec validation par plusieurs ingénieurs. Toutefois, la segmentation des étapes n'était pas suffisamment fine pour détecter l'erreur avant qu’elle ne provoque l’incident.

Bien que Cloudflare ait massivement investi dans la conception de MCP pour améliorer la disponibilité de ses services, cette panne a gravement affecté ses clients et les utilisateurs finaux. L'entreprise reconnaît ne pas avoir été à la hauteur des attentes et présente ses excuses pour les perturbations occasionnées. Des correctifs sont déjà en cours d'implémentation afin d’éviter qu’une telle situation ne se reproduise.

Un élément clé de cette nouvelle architecture repose sur un réseau Clos, qui ajoute une couche supplémentaire de routage pour créer un maillage de connexions. Ce maillage permet de désactiver ou d’activer facilement certaines parties du réseau interne des centres de données, que ce soit pour des opérations de maintenance ou en cas d’incident. Cette couche est représentée par des structures appelées "spines" dans l’architecture du réseau.

Cloudflare expérimente le remplacement des CAPTCHA par des clés de sécurité

Cloudflare explore une nouvelle approche visant à remplacer les CAPTCHA par des clés de sécurité. Les CAPTCHA, conçus pour différencier un utilisateur humain d’un programme automatisé, sont des tests de Turing entièrement automatisés. Ils permettent de valider l’identité d’un utilisateur en quelques secondes tout en réduisant le coût de la détection manuelle et en optimisant le traitement des formulaires soumis par de véritables internautes.

L’évolution des CAPTCHA

Le terme CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) désigne une méthode d’authentification par question-réponse, souvent basée sur la reconnaissance d’images ou de sons. À l’origine, ces tests consistaient à recopier une série de lettres et chiffres déformés ou à résoudre une opération mathématique simple.

En 2017, Google a simplifié ce processus en introduisant un CAPTCHA reposant sur une simple case à cocher, analysant le comportement de l’utilisateur avant l’action (notamment ses mouvements de souris). Par la suite, les tests sont devenus plus interactifs, demandant aux utilisateurs d’identifier des objets dans des images (voitures, ponts, vélos, etc.).

Une alternative sans images : l’attestation cryptographique de Personhood

Cloudflare souhaite éliminer complètement les CAPTCHA. Thibault Meunier, ingénieur de recherche chez Cloudflare, justifie cette démarche :
« En moyenne, un utilisateur met 32 secondes pour compléter un défi CAPTCHA. Avec 4,6 milliards d’internautes et un CAPTCHA rencontré tous les 10 jours, cela représente environ 500 années humaines gaspillées chaque jour, uniquement pour prouver notre humanité. »

Cloudflare lance donc une expérimentation visant à remplacer les CAPTCHA par une attestation cryptographique du statut de Personne (Personhood). Le principe est simple : au lieu d’identifier un utilisateur via des tests visuels, une clé de sécurité physique (comme une YubiKey) ou un dispositif intégré à un smartphone ou un ordinateur servirait de preuve d’humanité, sans compromettre l’identité de l’utilisateur.

Fonctionnement du système proposé

• L’utilisateur accède à un site protégé par ce nouveau dispositif (ex. : [cloudflarechallenge.com]) ;
• Cloudflare initie un test ;
• L’utilisateur clique sur "Je suis humain" (version bêta) et sélectionne un dispositif de sécurité ;
• Il connecte une clé matérielle à son ordinateur ou utilise une communication sans fil (NFC) avec son smartphone ;
• Une attestation cryptographique est envoyée à Cloudflare, validant la présence humaine sans révéler d’informations personnelles.
  

Ce processus ne prend que cinq secondes et protège la vie privée des utilisateurs. En effet, les clés matérielles utilisées sont conformes aux standards de l’Alliance FIDO, garantissant que chaque clé est indifférenciable des autres du même lot. Ainsi, Cloudflare ne peut pas lier une attestation cryptographique à un individu spécifique, renforçant l’anonymat tout en assurant une protection efficace contre les robots et attaques automatisées.

[B][SIZE=3]Protection ou censure ? Le dilemme[/size=3]...