Conversation

Notices

1. Embed this notice
   sebsauvage (sebsauvage@framapiaf.org)'s status on Tuesday, 18-Mar-2025 05:33:47 JST sebsauvage

   #ViePrivée
   CloudFlare connaît vos mots de passe.
   Ils en font même un article.
   https://sebsauvage.net/links/?7eHQNQ

   Hé les techies, on pourrait arrêter de trouver CloudFlare merveilleux alors que cette boîte récupère littéralement tous le trafic de vos utilisateurs ?
   En sécurité informatique, ça s'appelle une attaque MITM.

   Est-ce que la "protection" que vous apporte CloudFlare est assez intéressante pour livrer en contrepartie tous les mots de passe de vos utilisateurs à une boîte privée américaine ???

   • Embed this notice
     Lien Rag (lienrag@mastodon.tedomum.net)'s status on Tuesday, 18-Mar-2025 05:33:33 JST Lien Rag

     in reply to

     • j@mastodon
     • tanavit

     @sebsauvage

     Je dois être très naïf mais je pensais que même le vrai serveur web ne voyait pas le mot de passe mais son hash...

     Donc quand j'ai utilisé "allezvousfairefoutre" ils l'ont vu ?
     (nan je dirais pas sur quel site, mais ils l'avaient mérité)

     @jcast @tanavit

     Haelwenn /элвэн/ :triskell: likes this.
   • Embed this notice
     sebsauvage (sebsauvage@framapiaf.org)'s status on Tuesday, 18-Mar-2025 05:33:34 JST sebsauvage

     in reply to

     • Lien Rag
     • j@mastodon
     • tanavit

     @lienrag
     ils sont chiffrés grace à TLS, oui (https).
     Mais comme c'est déchiffré sur les serveurs de CloudFlare avant d'être envoyé au vrai serveur web, ils voient tout.

     @jcast @tanavit

   • Embed this notice
     Lien Rag (lienrag@mastodon.tedomum.net)'s status on Tuesday, 18-Mar-2025 05:33:40 JST Lien Rag

     in reply to

     • j@mastodon
     • tanavit

     @sebsauvage

     Mais je croyais que les mots de passe n'étaient pas envoyés en clair ?

     @jcast @tanavit

   • Embed this notice
     j@mastodon (jcast@mastodon.social)'s status on Tuesday, 18-Mar-2025 05:33:42 JST j@mastodon

     in reply to

     • Lien Rag
     • tanavit

     @tanavit @lienrag @sebsauvage

     Oaui...
     https://developers.cloudflare.com/waf/detections/leaked-credentials/

   • Embed this notice
     sebsauvage (sebsauvage@framapiaf.org)'s status on Tuesday, 18-Mar-2025 05:33:42 JST sebsauvage

     in reply to

     • Lien Rag
     • j@mastodon
     • tanavit

     @lienrag
     Ben oui, comme ils font office de reverse-proxy pour les sites qui l'utilisent, ils voient la *totalité* du trafic en clair.

     @jcast @tanavit

   • Embed this notice
     tanavit (tanavit@toot.aquilenet.fr)'s status on Tuesday, 18-Mar-2025 05:33:44 JST tanavit

     in reply to

     • Lien Rag

     @lienrag @sebsauvage

     Mots de passe en clair ?
     Sur une communication httpS ?

   • Embed this notice
     Lien Rag (lienrag@mastodon.tedomum.net)'s status on Tuesday, 18-Mar-2025 05:33:46 JST Lien Rag

     in reply to

     @sebsauvage

     De ce que j'ai compris de la discussion, ils ne connaissent pas le mot de passe, ils comparent des hashs.

     Si je me trompe c'est effectivement scandaleux, donc je veux bien qu'on m'explique ce que je n'ai pas compris.

   • Embed this notice
     Monsieur Balarate (monsieurbalarate@mastodon.social)'s status on Tuesday, 18-Mar-2025 05:34:05 JST Monsieur Balarate

     in reply to

     @sebsauvage Perso je me passe assez bien de CloudFlare ; quantité de requêtes arrières qui te vident de ta substance

   • Embed this notice
     sebsauvage (sebsauvage@framapiaf.org)'s status on Tuesday, 18-Mar-2025 05:34:05 JST sebsauvage

     in reply to

     • Monsieur Balarate

     @MonsieurBalarate
     Personne, absolument personne n'échappe probablement à CloudFlare.
     J'ignore les proportions de sites qui utilisent CloudFlare, mais je doute qu'un seul internaute n'ai pas interagit sans le savoir à un moment ou un autre avec un reverse-proxy appartenant à CloudFlare.
     C'est de toute façon invisible à moins d'aller mettre les mains dans le cambouis.

     Haelwenn /элвэн/ :triskell: likes this.
   • Embed this notice
     sebsauvage (sebsauvage@framapiaf.org)'s status on Tuesday, 18-Mar-2025 05:34:06 JST sebsauvage

     in reply to

     • F4GRX Sébastien
     • Monsieur Balarate

     @MonsieurBalarate
     Donc on nivelle tout par le bas, et on abandonne l'idée de protéger notre vie privé face à de gigantesques intérêts privés qui vont pouvoir les exploiter librement ?
     Ou alors on essaie de faire quelquechose ?

     @f4grx

   • Embed this notice
     Monsieur Balarate (monsieurbalarate@mastodon.social)'s status on Tuesday, 18-Mar-2025 05:34:07 JST Monsieur Balarate

     in reply to

     • F4GRX Sébastien

     @sebsauvage : Internet c'est la mondialisation sociale (normalement). On ne peut pas jouer, et dans cette cour, et en même temps dans l'autre qui referme les nations sur elles-mêmes et que la France elle serait le centre du monde.
     On ne veut plus de Frontières Copain. Pour le RGPD on fait comment on l'impose ?

     @f4grx

   • Embed this notice
     Monsieur Balarate (monsieurbalarate@mastodon.social)'s status on Tuesday, 18-Mar-2025 05:34:08 JST Monsieur Balarate

     in reply to

     • F4GRX Sébastien

     J'ai perso un peu envie de dire qu'ils n'ont qu'à continuer @f4grx . On sait les capitalistes capables de vendre la corde pour se faire pendre.
     0n sait aussi nos jeunes capables d'aller en .onion. De suite ça fait moins rire (ou pas)

     @sebsauvage

   • Embed this notice
     sebsauvage (sebsauvage@framapiaf.org)'s status on Tuesday, 18-Mar-2025 05:34:08 JST sebsauvage

     in reply to

     • F4GRX Sébastien
     • Monsieur Balarate

     @MonsieurBalarate @f4grx

     Le problème majeur avec CloudFlare, c'est qu'il n'y a AUCUNE option d'opt-out.
     Et là on ne parle pas de cookies, mais de la totalité du trafic des sites qui l'utilisent.
     Y compris les sites français.
     Je ne vois pas comment ça peut être conforme au RGPD.

   • Embed this notice
     F4GRX Sébastien (f4grx@chaos.social)'s status on Tuesday, 18-Mar-2025 05:34:10 JST F4GRX Sébastien

     in reply to

     @sebsauvage trop tard ils controlent 80% du web.

   • Embed this notice
     Haelwenn /элвэн/ :triskell: (lanodan@queer.hacktivis.me)'s status on Tuesday, 18-Mar-2025 05:36:37 JST Haelwenn /элвэн/ :triskell:

     in reply to

     • Monsieur Balarate
     @sebsauvage @MonsieurBalarate Ouais, j'avais essayé y'a quelques années de bloquer Cloudflare pour me faire une idée, j'ai débloqué rapidos quelques jours plus tard. :D
     
     https://hacktivis.me/articles/blocking%20cloudflare%20IP-range%20be%20like
   • Embed this notice
     Nwk (_newick@toot.aquilenet.fr)'s status on Tuesday, 18-Mar-2025 05:36:49 JST Nwk

     in reply to

     @sebsauvage https://www.cloudflare.com/fr-fr/case-studies/doctolib/ combo gagnant. #santé #cybersecufr (il y a pléthore d'autres sites sensibles, mais disons que ça peut commencer à faire réfléchirent certains.)

     Haelwenn /элвэн/ :triskell: likes this.
   • Embed this notice
     Haelwenn /элвэн/ :triskell: (lanodan@queer.hacktivis.me)'s status on Tuesday, 18-Mar-2025 06:09:28 JST Haelwenn /элвэн/ :triskell:

     in reply to

     • sirber
     • Tom Tom
     • tanavit
     @tanavit @sebsauvage @tomtom @sirber DNS faut faire attention, Cloudflare peut faire hébergeur DNS et à ma connaissance tu as moyen de donner tes propres certificats.
     
     C'est la résolution d'addresses qu'il faut aller regarder et comparer à https://www.cloudflare.com/ips-v4 / https://www.cloudflare.com/ips-v6
     Et en regardant ça metar-taf.com est bien chez Cloudflare.
   • Embed this notice
     tanavit (tanavit@toot.aquilenet.fr)'s status on Tuesday, 18-Mar-2025 06:09:29 JST tanavit

     in reply to

     • sirber
     • Tom Tom

     @sebsauvage @tomtom @sirber

     Je viens d'essayer sur le site que j'évoquais précédemment.

     DNS et proxy sont ceux de CloudFlare.

     Par contre figure la mention :

     https://metar-taf.com is NOT using Cloudflare SSL

     Que dois-je comprendre ?

   • Embed this notice
     sebsauvage (sebsauvage@framapiaf.org)'s status on Tuesday, 18-Mar-2025 06:09:32 JST sebsauvage

     in reply to

     • sirber
     • Tom Tom

     @tomtom
     Ben justement, c'est pas toujours facilement détectable.
     Tu peux par exemple essayer avec ça : https://checkforcloudflare.selesti.com/
     (et par exemple le site de Korben)

     Quand tu es sur Korben.info, tu penses être en train de parler au site de Korben, mais il y a CloudFlare entre vous et le site de Korben.
     Et ils font passe-plat entre toi et le serveur web, en voyant tout le trafic en clair.

     @sirber

   • Embed this notice
     Tom Tom (tomtom@pouet.chapril.org)'s status on Tuesday, 18-Mar-2025 06:09:34 JST Tom Tom

     in reply to

     • sirber

     @sebsauvage @sirber comment savoir si c'est un site qui utilise cloudfare ? Parce que si tu interroges le certificat, il va bien être du site demandé et légal donc ça sera totalement indétectable , non ?

   • Embed this notice
     sebsauvage (sebsauvage@framapiaf.org)'s status on Tuesday, 18-Mar-2025 06:09:35 JST sebsauvage

     in reply to

     • sirber

     @sirber

     C'est ça. En fait:
     1) tu configure ton domaine pour pointer sur les DNS de CloudFlare au lieu des tiens.
     2) quand on tape l'adresse de ton site, on tombe sur les serveur de CloudFlare qui ont les certificats (et donc déchiffrent tout le trafic).
     3) ils font leur trucs (protection DDOS, cache, etc.)
     4) ils forwardent le trafic à ton vrai site web.

     Donc ils ont les certificats de ton site, ils déchiffrent TOUT.

   • Embed this notice
     sirber (sirber@fosstodon.org)'s status on Tuesday, 18-Mar-2025 06:09:36 JST sirber

     in reply to

     @sebsauvage a cause qu'ils ont ton certificat SSL ou un truc du genre?

   • Embed this notice
     Haelwenn /элвэн/ :triskell: (lanodan@queer.hacktivis.me)'s status on Tuesday, 18-Mar-2025 19:26:47 JST Haelwenn /элвэн/ :triskell:

     in reply to

     • WhilelM
     @whilelm Ouais enfin ça c'est connu depuis pas mal de temps.
     Et pareil à chaque fois qu'il y a des stats qui sortent Hetzner & OVH se retrouvent aussi dans le top 3.
   • Embed this notice
     WhilelM (whilelm@mstdn.fr)'s status on Tuesday, 18-Mar-2025 19:26:49 JST WhilelM

     in reply to

     • Haelwenn /элвэн/ :triskell:

     @lanodan oh mince, tu mettrais en évidence que la décentralisation du fediverse se recentralise via cloudflare ?! On n'est pas sorti•es des ronces...

   • Embed this notice
     Sander (klassika@mastodon.social)'s status on Wednesday, 19-Mar-2025 01:54:24 JST Sander

     in reply to

     • Anil Dash
     • Julien68

     @julien68 il y’a Fastly, je crois que @anildash, qui me semble être fort côté forces de lumière, est le person responsable.

   • Embed this notice
     Anil Dash (anildash@me.dm)'s status on Wednesday, 19-Mar-2025 01:54:24 JST Anil Dash

     in reply to

     • Sander
     • Julien68

     @Klassika @julien68 I do work at Fastly, though I am just one of many. But i will say it is unfathomable that people use a platform that surveils passwords without consent.

   • Embed this notice
     Julien68 (julien68@piaille.fr)'s status on Wednesday, 19-Mar-2025 01:54:26 JST Julien68

     in reply to

     Tu connais des alternatives ?