Initialement conçus pour simplifier et sécuriser le web, les services gratuits de Cloudflare sont aujourd’hui au cœur de stratégies sophistiquées de phishing. En combinant performance, légitimité apparente et accessibilité, ils offrent un terrain fertile pour des cyberattaques toujours plus complexes. « Détourner la confiance » est devenu une pratique courante des cyber-attaquants…
Cloudflare… Le nom dit forcément quelque chose aux internautes qui sont régulièrement confrontés à ses pages de contrôle d’authenticité des demandes Web.
Principal concurrent d’Akamai, Cloudflare est devenu au fil des ans une institution de la sécurité du Web et de l’optimisation des contenus Web. À lui seul, cet éditeur protège 25% du trafic Web mondial grâce à son CDN international. Ses services abordables en ont fait le compagnon sécurité de nombre de sites Web et services de ventes en ligne des TPE et PME.
Néanmoins, un récent rapport de Fortra montre qu’aujourd’hui, Cloudflare est de plus en plus victime de sa notoriété et d’une utilisation malveillante de ses services gratuits par des cybercriminels. Ainsi, Fortra constate dans son dernier rapport de cybersécurité une augmentation significative des attaques de phishing exploitant les services gratuits de Cloudflare.
Une infrastructure légitime détournée
Ainsi, kes services Cloudflare Pages et Workers, initialement conçus pour permettre aux développeurs de déployer rapidement des sites web et des applications, sont de plus en plus exploités par des acteurs malveillants. Ces plateformes offrent gratuitement des domaines en « .pages.dev » et « .workers.dev », associés à des fonctionnalités premium comme le chiffrement SSL/TLS automatique et une distribution mondiale via le CDN de Cloudflare.
Cloudflare souffre donc aujourd’hui de sa popularité. L’éditeur est devenu une cible privilégiée pour de multiples raisons. D’abord, sa réputation d’excellence en matière de sécurité et de performance constitue un atout majeur pour les cybercriminels, qui exploitent la confiance naturelle des utilisateurs (mais aussi des RSSI et des équipes Cyber) envers les domaines associés à Cloudflare. Cette confiance est renforcée par l’infrastructure technique de l’entreprise : son réseau CDN mondial assure des temps de chargement optimaux pour les pages malveillantes, tandis que le chiffrement SSL/TLS automatique confère une apparence de légitimité aux sites frauduleux via le cadenas HTTPS. Enfin, l’architecture même des services gratuits de Cloudflare facilite leur exploitation malveillante. Le système de proxy inversé, initialement conçu pour protéger les sites web des attaques DDoS, permet paradoxalement aux attaquants de masquer efficacement l’origine de leurs infrastructures malveillantes. En outre, la simplicité de déploiement, pensée pour démocratiser l’accès aux technologies web performantes, se révèle ici être une arme à double tranchant : en quelques clics, un attaquant peut mettre en ligne une page de phishing, bénéficiant instantanément de l’ensemble des services premium de Cloudflare sans investissement significatif.
Les chiffres révélés par l’équipe d’analyse des emails suspects (SEA) de Fortra sont ainsi assez préoccupants :
– Pour Cloudflare Pages : 1 370 incidents cyber s’appuyant sur le service ont été détectés jusqu’à mi-octobre 2024, contre 460 en 2023, soit une augmentation de 198%
– Pour Cloudflare Workers : 4 999 cas d’utilisation malveillante ont été recensés en 2024, contre 2 447 en 2023, représentant une hausse de 104%
Au rythme actuel de 137 incidents mensuels pour Pages et 499 pour Workers, Fortra projette que le nombre total d’attaques pourrait atteindre respectivement 1 600 et 6 000 d’ici fin 2024.
Des usages malins et illégitimes…
Les chercheurs de Fortra ont identifié plusieurs stratégies employées par les cybercriminels qui combinent souvent des services Microsoft et Cloudflare (deux entreprises dont les domaines sont souvent par défaut placés comme domaines de confiance) et qui ne manqueront pas d’intéresser les RSSI :
1- L’utilisation de redirections en cascade
Les redirections en cascade constituent une innovation tactique notable dans le paysage du phishing moderne. Les attaquants orchestrent un parcours utilisateur complexe, débutant par un email professionnel méticuleusement élaboré qui conduit vers un document PDF en apparence anodin. Ce PDF redirige ensuite l’utilisateur vers une page OneDrive Microsoft authentique, établissant ainsi un premier niveau de confiance. La page OneDrive présente alors un document professionnel intitulé « Company Proposal », dont l’ouverture déclenche une redirection finale vers un domaine pages.dev hébergeant la page malveillante. Cette approche sophistiquée permet non seulement de contourner les systèmes de détection traditionnels mais complexifie également considérablement l’analyse forensique.
2- L’exploitation du « bccfoldering »
« Pour vivre heureux, vivons cachés » dit le proverbe. Appliquer dans le domaine du Phishing, cela consiste à faire en sorte que les campagnes soient le moins visibles possibles pour ne pas attirer l’attention des cyber-défenseurs. Le « bccfoldering » est une nouvelle technique de dissimulation des campagnes de phishing. En exploitant exclusivement le champ BCC du protocole SMTP, les attaquants parviennent à masquer efficacement l’ampleur de leurs opérations. Cette méthode rend impossible la détection du volume réel des destinataires et complique significativement le travail des équipes de sécurité, qui ne peuvent plus corréler les incidents ni identifier rapidement les campagnes massives de phishing.
3- L’imitation sophistiquée des pages de connexion Microsoft Office 365
Fortra constate que désormais l’imitation des interfaces Microsoft Office 365 atteint aujourd’hui un niveau de sophistication sans précédent. Les cybercriminels développent des répliques quasi parfaites des interfaces Microsoft, reproduisant avec une précision remarquable la charte graphique, les comportements dynamiques des formulaires et même les messages d’erreur système. L’hébergement de ces pages frauduleuses sur les domaines workers.dev, bénéficiant du certificat SSL/TLS de Cloudflare, renforce encore leur crédibilité auprès des utilisateurs.
4- L’ajout de pages de vérification humaine type CAPTCHA
Pour Fortra, l’intégration de pages de vérification humaine type CAPTCHA au cœur des stratégies de phishing marque une évolution tactique majeure des cybercriminels. En déployant ces mécanismes via Cloudflare Workers, les attaquants ajoutent une fausse couche de légitimité supplémentaire tout en filtrant les systèmes automatisés de détection. Cette sophistication technique crée un sentiment de sécurité trompeur chez les victimes potentielles, augmentant significativement l’efficacité des attaques. Mais elle assure aussi un niveau de protection vers les services malveillants par les moteurs de scan automatisés des éditeurs de cybersécurité. L’exécution côté client de ces mécanismes permet une intégration transparente dans le processus de phishing, rendant la détection encore plus complexe pour les solutions de sécurité traditionnelles.
Certes, mais on s’en protège comment ?
Bien évidemment, Cloudflare n’est pas insensible à cet usage illégal et malveillant de ses services. Mais bien que l’éditeur ne cesse d’imaginer et intégrer de nouveaux systèmes de détection des menaces et de mécanismes de signalement, les attaquants parviennent souvent à exploiter ces services avant la détection du contenu malveillant.
Pour Fortra, se reposer sur les services de Cloudflare ou Akamai ne suffit pas. Il faut aussi y apporter des bonnes pratiques comme vérifier systématiquement les URL des pages de connexion, activer l’authentification à deux facteurs, signaler les tentatives de phishing repérées à Cloudflare et rester vigilant face aux demandes d’informations sensibles.
Cette situation met finalement en lumière un paradoxe du web moderne : les infrastructures conçues pour sécuriser internet peuvent, lorsqu’elles sont détournées, devenir des vecteurs d’attaque particulièrement efficaces. Elle illustre parfaitement un dilemme – sous-estimé par tous – auquel font face les grands acteurs de l’infrastructure web : comment maintenir l’accessibilité et la démocratisation des services tout en limitant leur potentiel d’exploitation malveillante ? La gratuité et la facilité d’accès, piliers de la croissance de Cloudflare, sont ainsi aujourd’hui devenues involontairement des facilitateurs pour les campagnes de phishing sophistiquées. Ce n’est pas une bonne nouvelle. Mais c’est un rappel qu’il faut rester vigilant, même si les services auxquels on se connecte semblent provenir d’éditeurs réputés et de confiance…