CloudFlare bloque toutes les connexions HTTP non cryptées à ses API

Seules les connexions HTTPS cryptées sont désormais autorisées. La mesure est destinée à empêcher les données sensibles de fuir dans des connexions non garanties.

Cloudflare has recently blocked all non-encrypted HTTP connections to its APIs via api.cloudflare.com by default. Only encrypted HTTPS connections are now allowed. The measure is intended to prevent sensitive data from leaking through unsecured connections.

CloudFlare a récemment bloqué toutes les connexions HTTP non cryptées à ses API via API.cloudflare.com par défaut. Seules les connexions HTTPS cryptées sont désormais autorisées. La mesure est destinée à empêcher les données sensibles de fuir dans des connexions non garanties.

Cloudflare’s measure is aimed at the Cloudflare API. This helps developers and system administrators automate and manage their Cloudflare services. Among other things, it helps with the management of DNS records, configuring firewalls, protection against DDoS attacks, caching SSL settings, rolling out infrastructure, accessing data for analyses, managing zero-trust access and other security settings.

La mesure de CloudFlare s'adresse à l'API CloudFlare. Cela aide les développeurs et les administrateurs système à automatiser et à gérer leurs services CloudFlare. Entre autres choses, cela aide à la gestion des enregistrements DNS, à la configuration des pare-feu, à une protection contre les attaques DDOS, à la mise en cache des paramètres SSL, à un déplacement de l'infrastructure, à l'accès aux données pour les analyses, à la gestion de l'accès zéro-frust et à d'autres paramètres de sécurité.

Until now, the API accepted both unencrypted HTTP connections and encrypted HTTPS connections. Connections with so-called cleartext HTTP ports ran the risk of sensitive information being leaked. This was the case because this traffic was not encrypted and could therefore easily be intercepted by internet providers, WiFi hotspot providers or hackers on the same network.

Jusqu'à présent, l'API a accepté à la fois les connexions HTTP non cryptées et les connexions HTTPS cryptées. Les connexions avec des ports HTTP dits ClearText ont couru le risque de divulgation d'informations sensibles. Ce fut le cas parce que ce trafic n'était pas crypté et pouvait donc facilement être intercepté par les fournisseurs Internet, les fournisseurs de hotspot WiFi ou les pirates sur le même réseau.

Servers tackle this HTTP traffic by redirecting it or rejecting it with a 403 response, forcing clients to use encrypted HTTPS connections. However, this can be too late for sensitive data. This data, for example an API token, may already have been sent in cleartext in the first client connection request. This data would then have been exposed at an earlier stage, before the server can redirect or reject the connection.

Les serveurs s'attaquent à ce trafic HTTP en le redirigeant ou en le rejetant avec une réponse 403, forçant les clients à utiliser des connexions HTTPS cryptées. Cependant, cela peut être trop tard pour des données sensibles. Ces données, par exemple un jeton API, ont peut-être déjà été envoyée dans ClearText dans la première demande de connexion client. Ces données auraient ensuite été exposées à un stade antérieur, avant que le serveur ne puisse rediriger ou rejeter la connexion.

Blocking HTTP traffic

Bloquer le trafic HTTP

Cloudflare wants to solve this problem once and for all and therefore closes off the entire HTTP interface to its API environment. This means blocking plaintext connections in the transport layer before any data has been exchanged. This means that only encrypted HTTPS connections are now possible.

CloudFlare veut résoudre ce problème une fois pour toutes et ferme donc toute l'interface HTTP à son environnement API. Cela signifie bloquer les connexions en texte en clair dans la couche de transport avant l'échange de données. Cela signifie que seules les connexions HTTPS cryptées sont désormais possibles.

The new measure has major consequences for anyone who still uses unencrypted HTTP connections via the Cloudflare API Service. Bots, scripts and other tools that depend on this will no longer work.

La nouvelle mesure a des conséquences majeures pour quiconque utilise toujours des connexions HTTP non cryptées via le service API CloudFlare. Les robots, les scripts et autres outils qui dépendent de cela ne fonctionneront plus.

This also applies to other legacy systems, automated clients, IoT devices and other low-level clients that do not yet use HTTPS by default due to poor configurations.

Cela s'applique également aux autres systèmes hérités, clients automatisés, appareils IoT et autres clients de bas niveau qui n'utilisent pas encore HTTPS par défaut en raison de mauvaises configurations.

Cloudflare itself indicates that approximately 2.4 percent of the internet traffic processed via its systems still uses the unsafe HTTP protocol. If automated traffic is included, this rises to 17 percent.

CloudFlare lui-même indique qu'environ 2,4% du trafic Internet traité via ses systèmes utilise toujours le protocole HTTP dangereux. Si le trafic automatisé est inclus, cela passe à 17%.

Actions by customers

Actions des clients

Customers can check the ratio between HTTP and HTTPS traffic themselves in their Cloudflare dashboard. This allows them to estimate the extent to which the measure affects their environment.

Les clients peuvent vérifier le ratio entre HTTP et HTTPS le trafic eux-mêmes dans leur tableau de bord CloudFlare. Cela leur permet d'estimer dans quelle mesure la mesure affecte leur environnement.

For users of websites that run on Cloudflare, the specialist will soon offer a free option until the end of this year to safely disable unencrypted HTTP traffic.

Pour les utilisateurs de sites Web qui s'exécutent sur CloudFlare, le spécialiste offrira bientôt une option gratuite jusqu'à la fin de cette année pour désactiver en toute sécurité le trafic HTTP non crypté.

See also: Cloudflare launches platform for real-time threat information

Voir aussi: Cloudflare lance la plate-forme pour les informations de menace en temps réel