☸️ 👩‍👩‍👦 👩🏾‍⚖️ CloudFlare - Cancer Internet 🙀 ✴️ ✴️

Avertissement: J'utilise beaucoup CloudFlare et je pense qu'ils font un excellent travail, aident à développer Internet, donnent des produits sympas gratuitement et généralement des gars formidables. L'article décrit les problèmes de la mondialisation et les nouvelles menaces lorsque l'Internet décentralisé devient centralisé.

Lorsque CloudFlare est apparu pour la première fois, ce fut une véritable révolution dans l'hébergement Web: en deux clics, sans passer à un autre serveur, vous pouviez connecter un CDN professionnel à votre site Web, ce qui économisait beaucoup de trafic, accélérait le chargement des fichiers statiques et était également protégé contre les DDoS. Auparavant, seules les entreprises pouvaient se le permettre pour beaucoup d'argent, mais maintenant, il est devenu accessible à tous, également gratuit!

Depuis lors, CloudFlare a connu une croissance exponentielle et gère aujourd'hui un tiers d'Internet via son infrastructure. Pour cette raison, des problèmes ont surgi qui n'existaient pas auparavant. Dans un article, nous verrons comment CloudFlare menace le fonctionnement normal d'Internet, empêche les gens ordinaires d'utiliser des sites, a accès au trafic crypté et que faire à ce sujet.

Comment briser un tiers d'Internet

Le 2 juillet 2019 à la suite de l'erreur CloudFlare s'est complètement rompue . En conséquence, tous les services qui utilisent en quelque sorte leur réseau n'étaient pas disponibles. Parmi les plus célèbres: Discord, Reddit, Twitch. Cela a affecté non seulement les sites Web, mais aussi les jeux, les applications mobiles, les terminaux, etc. Dans le même temps, même les services qui n'utilisent pas directement CloudFlare ont rencontré des problèmes dus à des API tierces devenues indisponibles.

Dans la plupart des cas, pour utiliser CloudFlare, les clients dirigent leurs domaines vers leurs serveurs DNS. Au moment de l'accident, le panneau de contrôle et l'API étaient également devenus indisponibles, ce qui empêchait les clients de rediriger leurs domaines pour contourner le réseau CloudFlare, ce qui les bloquait: il était impossible de désactiver rapidement les proxys et de revenir à leur infrastructure. La seule issue était de déléguer le domaine à leurs propres serveurs DNS, mais une telle mise à jour pouvait prendre plus d'une journée, et la plupart des clients n'étaient pas prêts pour cela et n'avaient pas de serveurs DNS maîtres de rechange dans ce cas.

Malgré le fait que les temps d'arrêt étaient faibles, quelques heures seulement, cela a considérablement affecté l'ensemble de l'industrie. En raison de services de paiement non fonctionnels, les entreprises ont subi des pertes directes. Cet incident a révélé un problème évident qui n'avait été discuté auparavant qu'en théorie: si Internet dépend tellement d'un seul fournisseur de services, à un moment donné, tout peut se casser.

Si une entreprise contrôle une si grande partie d'Internet, cela menace la stabilité du réseau du point de vue technique et économique.

Le concept d'Internet lui-même implique la décentralisation et la résistance à de telles erreurs. Même si une partie du réseau est déconnectée, le système de routage est automatiquement reconstruit. Mais lorsqu'une entreprise gère une si grande partie du trafic, le réseau devient vulnérable à ses erreurs, sabotages, piratages, ainsi qu'à des actions malhonnêtes à but lucratif. Cette idée est importante pour comprendre les problèmes restants, dont nous discuterons plus tard.

Tu as l'air suspect

Si les algorithmes propriétaires pour détecter le trafic CloudFlare malveillant vous considèrent comme un utilisateur Internet indigne, la navigation sur le Web deviendra un tourment: sur chaque site, vous verrez les exigences pour passer un captcha humiliant.

^{CloudFlare CAPTCHA peut vous hanter partout sur Internet.}

L'auteur de ces lignes accède à Internet à partir de l'adresse IP du bureau, derrière laquelle des centaines d'autres employés sont assis. Apparemment, CloudFlare a décidé que nous ressemblions tous à des robots et a commencé à montrer à tout le monde un captcha très diabolique. Parfois, cela arrive au point d'absurdité lorsque certaines applications mobiles ne peuvent pas se connecter. Par conséquent, pour surfer normalement sur Internet, vous devez connecter un VPN.

Il s'avère que CloudFlare peut vous déconnecter personnellement d'une grande partie d'Internet à tout moment si cela ne vous plaît pas, ou en raison d'une détection erronée, transformer l'utilisation habituelle des services en tourment.

Nous pouvons voir à travers HTTPS

Pour mettre correctement en cache et filtrer le contenu, les serveurs CloudFlare doivent pouvoir voir le trafic HTTP décrypté. Pour ce faire, ils travaillent toujours en mode MiTM (Man-in-the-middle), substituant leur certificat SSL au visiteur du site final.

Les images dans les instructions de configuration HTTPS peuvent être trompeuses, comme en mode complet, le cryptage est utilisé tout au long du flux de trafic. En fait, le serveur CloudFlare déchiffre le trafic du serveur et le chiffre à nouveau avec son certificat pour le visiteur du site.

^{Dans n'importe quel mode de fonctionnement, CloudFlare déchiffre le trafic SSL.}

Même si vous avez un certificat SSL valide de votre côté, CloudFlare aura toujours accès à toutes les données transmises. Cela discrédite toute l'idée de SSL, qui implique le cryptage du client vers le serveur de destination sans décryptage en cours de route.

En cas d'erreur ou de piratage des serveurs CloudFlare, tout le trafic confidentiel sera accessible aux attaquants. Il suffit de rappeler une vulnérabilité de fuite de mémoire qui a amené les serveurs CloudFlare à cracher du contenu de mémoire aléatoire directement dans le contenu de la page. Cela peut inclure des cookies, des comptes, des numéros de carte de crédit, etc.

Vous devez également garder à l'esprit que les services spéciaux du pays dans la juridiction duquel Cloudflare Inc peut demander l'accès au trafic décrypté, même si le serveur d'origine se trouve dans une autre juridiction. Cela transforme l'idée de base de SSL en fiction.

Non seulement l'infrastructure, mais la censure

Au départ, Cloudflare a déclaré qu'il ne fournirait qu'une infrastructure aux clients et ne prévoyait pas de censurer les ressources de contenu, promettant de se limiter uniquement aux exigences légitimes des agences gouvernementales. Il en a été de même avec le site du célèbre groupe LulzSec, qui a coordonné les hacks et les attaques DDoS. À cette occasion, Cloudflare a publié une déclaration .

Cependant, après un certain temps, Cloudflare décide de refuser le service sur le site Web 8chan en raison de ses perceptions morales. De plus, il n'y a pas eu de décisions de justice ou d'autres raisons formelles pour cela - ils l'ont juste décidé. Cela a provoqué une discussion publique sur la question de savoir si le fournisseur peut décider lui-même quel service est digne d'être servi sur son infrastructure et lequel ne l'est pas. Article de réflexion sur ce sujet dans le New York Times:Pourquoi interdire 8chan a été si difficile pour Cloudflare: `` Personne ne devrait avoir ce pouvoir '' .

Conclusion

Malgré le fait que Cloudflare est un service incroyablement utile et contribue à accélérer considérablement la livraison de contenu, ainsi que le développement d'Internet, sa croissance dangereuse et le monopole à venir menacent la stabilité de l'ensemble d'Internet. Essayons de résumer tout ce qui précède dans des thèses simples:

Vous ne pouvez pas stocker tous les œufs dans le même panier. C'est tout simplement dangereux, le prix d'une erreur dans ce cas est trop élevé. Si une entreprise possède tous les secrets du monde, elle peut toujours être piratée, commettre une erreur ou simplement agir malhonnêtement pour chasser ses concurrents du marché.
— . , , , .
SSL . , Cloudflare, — CloudFlare. .

Ce message n'encourage pas à abandonner Cloudflare, mais décrit seulement ce qui menace à l'avenir une croissance et une influence rapides de cette entreprise. Réfléchissez si vous avez vraiment besoin d'utiliser Cloudflare pour vos tâches, et si c'est impossible sans lui, pensez au plan B en cas de déménagement d'urgence.

Pour ceux qui recherchent des serveurs fiables, nous avons lancé l'action: ISPmanager gratuitement pendant trois mois. Et en plus de la remise traditionnelle de 10% pour les lecteurs Habré: