Chez Cloudflare, nous aimons les idées en rupture. Aussi, lorsque nous les associons à notre conviction fondamentale selon laquelle la sécurité devrait être accessible à tout le monde, le résultat se traduit par un Internet meilleur et plus sûr pour tous.

Il ne s'agit pas de paroles en l'air. Prenons un exemple remontant à l'annonce du lancement de l'Universal SSL en 2014. Du jour au lendemain, nous avons ainsi pu proposer le chiffrement SSL/TLS à plus de deux millions de propriétés Internet, sans nécessité pour quiconque de débourser un centime ou de configurer un certificat. Ce lancement s'est avéré bénéfique non seulement pour nos clients, mais aussi pour tous les utilisateurs du web.

En 2017, nous avions annoncé l'atténuation illimitée des attaques DDoS. Nous n'avons jamais facturé l'utilisation de la bande passante DDoS à nos clients, car l'idée ne nous semblait pas correcte. Il nous a néanmoins fallu du temps pour constituer un réseau dont l'étendue nous permet de proposer une prestation d'atténuation totalement illimitée pour tous, clients payants ou non.

Pourtant, on me pose souvent la question : comment parvenons-nous à ce résultat ? La réponse est très simple. Nous avons développé une technologie formidable, efficace et évolutive. C'est elle qui nous permet de maintenir les coûts à un faible niveau.

Nous remettons le couvert aujourd'hui en plaçant un ensemble de règles gérées pour notre pare-feu d'applications web (WAF) à la disposition de toutes les offres Cloudflare, gratuitement.

Pourquoi nous sommes-nous lancés dans ce projet ?

Les vulnérabilités les plus connues présentent une incidence majeure sur Internet et affectent toutes les entreprises, quelle que soit leur taille. Nous l'avons récemment constaté avec Log4J, mais même avant cette dernière, d'autres vulnérabilités importantes, comme Shellshock et Heartbleed, ont laissé des traces sur le réseau Internet.

Les propriétaires de petites applications, de même que leurs équipes, n'ont pas toujours le temps de se tenir à jour dans un contexte frénétique de fréquentes publications de correctifs de sécurité. Bon nombre d'applications finissent ainsi par se retrouver compromises ou être utilisées à des fins néfastes.

Avec des millions de propriétés Internet protégées par le proxy Cloudflare, il est de notre devoir de garantir la sécurité du web. C'est d'ailleurs ce que nous avons fait avec Log4J en déployant des règles d'atténuation pour l'ensemble du trafic, y compris dans les zones correspondant à l'offre GRATUITE. Nous formalisons aujourd'hui notre engagement en proposant gratuitement un ensemble de règles gérées à toutes les offres, en plus de notre nouveau moteur de pare-feu WAF.

À quelle date le lancerons-nous ?

Si vous avez souscrit une offre GRATUITE, vous profitez déjà de cette protection. Au cours des mois à venir, l'ensemble des utilisateurs de notre zone GRATUITE bénéficieront également d'un accès au pare-feu WAF de Cloudflare dans le tableau de bord. Ils pourront alors déployer et configurer le nouvel ensemble de règles. Ce dernier proposera des règles d'atténuation pour les vulnérabilités les plus connues, comme Shellshock et Log4J.

S'ils souhaitent accéder à nos ensembles de règles WAF plus vastes (règles gérées par Cloudflare, ensemble de règles principal de l'OWASP et ensemble de règles Cloudflare lié à la vérification des identifiants victimes de fuites), ainsi qu'aux fonctionnalités avancées du pare-feu WAF, les clients devront néanmoins toujours passer à une offre PRO ou de niveau supérieur.

Le défi

Avec plus de 32 millions de requêtes HTTP par seconde mises en proxy par le réseau mondial Cloudflare, l'application du WAF sur chaque requête ne se révèle pas des plus simples.

Les pare-feu WAF inspectent l'ensemble des composants de la requête HTTP, y compris les corps de texte, en exécutant un ensemble de règles (parfois appelées signatures) à la recherche de motifs spécifiques, susceptibles de représenter une charge utile malveillante. Ces règles se montrent plus ou moins complexes. D'autre part, plus elles sont nombreuses, plus le système se révèle difficile à optimiser. En outre, de nombreuses règles s'appuient sur les capacités d'identification d'expressions régulières (regex), qui permettent à l'auteur de mettre en œuvre une logique complexe de mise en correspondance.

L'ensemble de cette procédure doit s'opérer avec le minimum d'incidence possible sur la latence. En effet, la sécurité ne doit pas s'acquérir au détriment des performances et de nombreux propriétaires d'applications se tournent d'ailleurs vers Cloudflare pour améliorer ces dernières.

En tirant parti de notre nouveau moteur de règles périphériques (à partir duquel notre nouveau pare-feu WAF a été développé), nous avons pu atteindre nos objectifs en matière de performances et d'utilisation de la mémoire. Cette position nous permet ainsi de garantir une bonne base de protection WAF à chacun. C'est là que le nouvel ensemble de règles gérées proposé gratuitement par Cloudflare entre en scène.

L'ensemble de règles gérées proposé gratuitement par Cloudflare

Automatiquement déployé dans n'importe quelle nouvelle zone Cloudflare, cet ensemble de règles est spécialement conçu pour réduire au minimum le nombre de faux positifs au sein d'une très vaste gamme de types de trafic. Si nécessaire, les clients conservent la possibilité de désactiver l'ensemble de règles ou de configurer le filtre de trafic, voire des règles individuelles. À ce jour, l'ensemble de règles contient les règles suivantes :

  • règles Log4J de correspondance des charges utiles dans l'URI et les en-têtes HTTP ;
  • règles Shellshock ;
  • règles de correspondance avec les exploits WordPress les plus répandus.

Dès qu'une correspondance avec une règle est établie, un événement est généré dans l'onglet Security Overview (Vue d'ensemble de la sécurité), afin de vous permettre d'inspecter la requête.

Déploiement et configuration

L'ensemble de règles fera l'objet d'un déploiement automatique dans toutes les nouvelles zones de l'offre GRATUITE. Testées en conditions réelles sur le réseau Cloudflare, les règles peuvent être déployées immédiatement et en toute sécurité sur la plupart des applications. Dans tous les cas, les clients conservent la possibilité de configurer plus précisément l'ensemble de règles en :

  • remplaçant toutes les règles afin de JOURNALISER un événement ou d'effectuer toute autre action sur ce dernier.
  • remplaçant des règles spécifiques afin de JOURNALISER un événement ou d'effectuer toute autre action sur ce dernier.
  • désactivant totalement l'ensemble de règles ou n'importe quelle règle spécifique.

Toutes les options sont facilement accessibles via le tableau de bord, mais elles peuvent également être effectuées par API. Vous trouverez la documentation relative à la configuration de l'ensemble de règles, dès qu'elle sera disponible dans l'interface utilisateur, sur notre site destiné aux développeurs.

Et ensuite ?

L'ensemble de règles gérées proposé gratuitement par Cloudflare sera mis à jour chaque fois qu'une vulnérabilité pertinente et présentant de vastes implications sera découverte. Ces mises à jour seront publiées dans notre changelog (journal des modifications), afin de permettre aux clients de rester au fait des nouvelles règles.

Nous adorons développer de nouvelles technologies utiles. Toutefois, il nous tient également à cœur que ces dernières se montrent largement disponibles et faciles à utiliser. Nous nous réjouissons à l'idée de rendre le web plus sûr pour chacun grâce à un pare-feu WAF qui ne vous coûtera pas un centime. Si l'aventure vous intéresse, rendez-vous ici pour vous inscrire à notre offre gratuite.