Désormais, seules les connexions sécurisées HTTPS sont autorisées pour les requêtes API.
Cloudflare a annoncé qu’à partir de maintenant, seules les connexions sécurisées HTTPS seront acceptées pour les requêtes API vers api.cloudflare.com. Toutes les connexions HTTP sont désormais bloquées et fermées, avant même que des données ne soient transmises. Cette approche préventive vise à améliorer l’agilité et la fiabilité des points de terminaison API de Cloudflare.
HTTP constitue un risque
Cette mesure vise à empêcher l’envoi de requêtes API non chiffrées. Cloudflare souhaite ainsi éviter que des informations sensibles, telles qu’une clé API, ne soient divulguées via des connexions non sécurisées. Les requêtes API envoyées via HTTP ne sont pas chiffrées et sont transmises en texte clair. Ainsi, les pirates informatiques peuvent facilement intercepter ces données. Selon Cloudflare, cela pose particulièrement problème pour les clients qui n’imposent pas le HTTPS.
Les adresses IP de l’API Cloudflare sont gérées de manière dynamique. Cela signifie qu’elles peuvent changer, mais les clients recevront un avertissement préalable en cas de mise à jour. Plus tard dans l’année, les utilisateurs auront également la possibilité de désactiver eux-mêmes tout le trafic HTTP pour leurs propres domaines.
En 2024, le nombre d’attaques DDoS a atteint un niveau record. Plus de la moitié des attaques étaient des attaques HTTP, provenant de botnets connus. HTTPS est mieux sécurisé et immunisé contre ce type d’attaques. Cloudflare fait ainsi un grand pas vers un internet mieux régulé et plus sûr.
lire aussi