Cloudflare est-il totalement fiable ?
Categories:
Cloudflare, Alibaba Cloud ESA, Tencent EdgeOne, etc., détiennent tous des certificats de domaine, ce qui signifie qu’ils peuvent voir intégralement tout le trafic sous le domaine. Ils sont eux-mêmes de grands intermédiaires. Leur fonction principale est la sécurité : il y a trop d’attaquants sur le réseau, choisir un grand intermédiaire est plus avantageux que désavantageux. Leur fonction secondaire est de fournir simultanément des services edge comme DNS, CDN, WAF, etc.
Les services comme Cloudflare peuvent défendre efficacement contre les DDoS, en échangeant un léger accroissement de latence contre une capacité de protection, ce qui est très rentable. Chaque webmaster devrait utiliser directement ces services : les attaques réseau sont omniprésentes, pas la peine d’avoir un état d’esprit optimiste, on sera attaqué tôt ou tard. Certaines attaques exploitent des vulnérabilités, liées au niveau de compétence de l’opérateur du site. D’autres visent à épuiser les ressources, comme les DDoS, en exploitant l’asymétrie de coûts entre les réseaux commerciaux et domestiques ; c’est une stratégie ouverte, souvent la seule réponse est de dépenser de l’argent pour contrer, ou de fermer directement le service et d’abandonner tous les utilisateurs (dite défense par trou noir).
La plupart des attaquants voyant un site protégé par Cloudflare abandonnent directement l’attaque. En réalité, les attaquants peuvent envisager d’attaquer Cloudflare plutôt que le serveur d’origine pour obtenir les données de la même manière, juste avec une difficulté potentiellement plus élevée. Mais nous pouvons aussi croire que le monde est un immense bricolage, rien n’est impossible : en réalité, la grande majorité des attaques réseau passent inaperçues, la plupart des attaquants ne sont pas identifiés, et la plupart des attaques ne sont pas poursuivies. Cloudflare peut contrer les DDoS grâce à son avantage en coûts, cela ne signifie pas que son code est imprenable ; la possibilité d’obtenir les données de la source en attaquant des fournisseurs comme Cloudflare n’est pas nulle.