Cloudflare a annoncé une mesure importante pour renforcer la sécurité des données en ligne.L’entreprise va bloquer les connexions HTTP non chiffrées à son API (Interface de Programmation Applicative). Cette décision vise à protéger les informations sensibles des utilisateurs contre l’interception par des acteurs malveillants.Le protocole HTTPS, version sécurisée de HTTP, assure le chiffrement des données transmises entre un navigateur et un site web. Il garantit ainsi la confidentialité des informations, notamment les identifiants de connexion.
Actuellement, les serveurs redirigent souvent les connexions HTTP vers HTTPS ou renvoient une erreur 403 (interdit). Cependant, Cloudflare souligne que cette méthode n’est pas toujours suffisante. Des informations confidentielles, comme un jeton d’API, peuvent être exposées lors de la requête HTTP initiale, avant même la redirection.
pour contrer ce risque, Cloudflare va fermer tous les ports réseau utilisés pour HTTP en clair sur son API (api.cloudflare.com). L’entreprise a précisé :
« À partir d’aujourd’hui, toute connexion non chiffrée à api.cloudflare.com sera complètement rejetée. Les développeurs ne doivent plus s’attendre à une réponse 403 “Interdit” pour les connexions HTTP, car nous empêcherons l’établissement de la connexion sous-jacente en fermant complètement l’interface HTTP. Seules les connexions HTTPS sécurisées seront autorisées. »
Cette modification affectera les sites web, les robots et les outils qui utilisent le protocole HTTP avec l’API de Cloudflare. Ils cesseront de fonctionner.
Cloudflare prévoit d’activer une option au dernier trimestre de 2025 permettant aux clients de désactiver le trafic HTTP sur leurs sites web. Cette fonctionnalité s’ajoute à l’option existante “Toujours utiliser HTTPS”.
Parallèlement, Cloudflare a mis en place des modifications pour permettre à l’API de changer dynamiquement les adresses IP. L’objectif est de dissocier les noms de clients des adresses IP et de gérer les adresses de manière fiable dans son “DNS faisant autorité”.
Selon l’entreprise, cette mesure vise à améliorer l’agilité et la flexibilité de la gestion des points d’extrémité de l’API. Les clients utilisant des adresses IP statiques pour ces points d’extrémité seront avertis à l’avance pour éviter tout problème de disponibilité.
Cloudflare étudie d’autres domaines où la fermeture des ports de trafic en texte clair serait bénéfique, dans le but d’améliorer la sécurité globale d’Internet.
Cloudflare Renforce la Sécurité : Blocage des Connexions HTTP Non Chiffrées à l’API
Table of Contents
Cloudflare a annoncé une mesure importante pour renforcer la sécurité des données en ligne : le blocage des connexions HTTP non chiffrées à son API.
Pourquoi Cloudflare bloque-t-il les connexions HTTP ?
Cette décision vise à protéger les informations sensibles des utilisateurs contre l’interception par des acteurs malveillants. Le protocole HTTP, non chiffré, expose les données.HTTPS, en revanche, assure le chiffrement des données transmises entre un navigateur et un site web, garantissant ainsi la confidentialité.
La menace des requêtes HTTP initiales
Actuellement, les serveurs redirigent souvent les connexions HTTP vers HTTPS ou renvoient une erreur 403 (interdit). Cependant, Cloudflare souligne que cette méthode n’est pas toujours suffisante. Des informations confidentielles, comme un jeton d’API, peuvent être exposées lors de la requête HTTP initiale, avant même la redirection.
La solution : Fermeture des ports HTTP
Pour contrer ce risque, cloudflare va fermer tous les ports réseau utilisés pour HTTP en clair sur son API (api.cloudflare.com). cloudflare a clairement indiqué : “À partir d’aujourd’hui, toute connexion non chiffrée à api.cloudflare.com sera complètement rejetée. Les développeurs ne doivent plus s’attendre à une réponse 403 “Interdit” pour les connexions HTTP, car nous empêcherons l’établissement de la connexion sous-jacente en fermant complètement l’interface HTTP. Seules les connexions HTTPS sécurisées seront autorisées.”
Impact sur les utilisateurs
Cette modification affectera les sites web, les robots et les outils qui utilisent le protocole HTTP avec l’API de Cloudflare. Ils cesseront de fonctionner.
Autres améliorations de la sécurité
Option de désactivation HTTP pour les clients: Cloudflare prévoit d’activer une option au dernier trimestre de 2025 permettant aux clients de désactiver le trafic HTTP sur leurs sites web. Cette fonctionnalité s’ajoute à l’option existante “Toujours utiliser HTTPS”.
Gestion dynamique des adresses IP: Cloudflare a mis en place des modifications pour permettre à l’API de changer dynamiquement les adresses IP.L’objectif est de dissocier les noms de clients des adresses IP et de gérer les adresses de manière fiable dans son “DNS faisant autorité”. Ceci vise à améliorer l’agilité et la flexibilité de la gestion des points d’extrémité de l’API.
tableau récapitulatif des changements
| Changement | Description | Impact |
| :——————————————— | :————————————————————————————————————————————————————- | :——————————————————————————————————————————————————————————– |
| Blocage des connexions HTTP à l’API | Fermeture des ports HTTP pour api.cloudflare.com. Seules les connexions HTTPS sont autorisées. | Les outils utilisant HTTP avec l’API de Cloudflare cesseront de fonctionner. HTTPS est désormais obligatoire. |
| Option de désactivation HTTP (Q4 2025) | Permettra aux clients de désactiver complètement le trafic HTTP sur leurs sites web. | Renforce la sécurité en empêchant tout trafic HTTP. |
| gestion dynamique des adresses IP | Dissociation des noms de clients des adresses IP et gestion dynamique via le DNS faisant autorité. | Améliore l’agilité et la flexibilité de la gestion des points d’extrémité de l’API. Les clients avec adresses IP statiques seront notifiés. |
FAQ
Q : Pourquoi Cloudflare bloque-t-il le HTTP ?
R : Pour renforcer la sécurité et protéger les informations sensibles contre les interceptions.
Q : Qu’est-ce que le HTTPS ?
R : Une version sécurisée de HTTP qui chiffre les données transmises.
Q : Quand cette modification prend-elle effet ?
R : Immédiatement, à partir d’aujourd’hui. Toutes les connexions HTTP sont rejetées.
Q : que doivent faire les développeurs ?
R : S’assurer que tous les appels à l’API de Cloudflare utilisent HTTPS.
Q : Qu’est-ce que la gestion dynamique des adresses IP ?
R : C’est la capacité pour l’API de changer ses adresses IP.
Q: Quand l’option de désactivation HTTP sera-t-elle disponible ?
R: Au dernier trimestre de 2025.