Cloudflare
Cloudflare est une entreprise américaine qui propose un réseau de distribution de contenu, des services de sécurité Internet et des services distribués de serveur de noms de domaine, entre le visiteur et le fournisseur de services d’hébergement de l’utilisateur de Cloudflare ; le système fonctionne comme un serveur proxy inversé pour les sites Web. Le siège social de Cloudflare se trouve à San Francisco (Californie), avec des implantations à Londres, Singapour, Champaign, Austin, Boston et Washington[3],[4].
Cloudflare | |
Création | juillet 2009 |
---|---|
Fondateurs | Matthew Prince, Lee Holloway, Michelle Zatlyn |
Action | New York Stock Exchange (NET)[1] |
Siège social | San Francisco États-Unis |
Direction | Matthew Prince (CEO) |
Activité | Internet |
Effectif | 1 069 ()[2] |
Site web | https://cloudflare.com |
Historique
Cloudflare a été créée en 2009 par Matthew Prince, Lee Holloway et Michelle Zatlyn, qui travaillaient précédemment sur Project Honey Pot. La solution Cloudflare a été lancée à l’occasion de la conférence TechCrunch Disrupt de septembre 2010. Elle a attiré l’attention des médias en juin 2011, après avoir fourni des services de sécurité au site Web LulzSec. En juin 2012, Cloudflare s’est associée à plusieurs hébergeurs Web, tels que HostPapa, pour mettre en œuvre sa technologie Railgun. En février 2014, Cloudflare a freiné l’attaque DDoS la plus importante jamais enregistrée, qui a atteint les 400 Gbits/s, contre un client dont l’identité est restée confidentielle. En novembre 2014, Cloudflare a signalé une autre attaque DDos massive à 500 Gbits/s, dont les cibles étaient des sites de médias indépendants[5].
En 2004, Matthew Prince et Lee Holloway créent « Project Honey Pot », une organisation à but non lucratif qui cherche à lutter contre le spam avec un système distribué de détection des spammers et des bots. Cette dernière connaît un grand succès, et intéresse notamment en 2007 le département de la Sécurité intérieure qui y voit l'opportunité d'exploiter des données sur la fraude en ligne.
Par la suite Prince et Holloway font équipe avec Michelle Zatlyn. Le projet d'entreprise de Cloudflare remporte en avril 2009 la compétition Harvard Business School Business Plan[6]. En novembre, l'entreprise clôt un tour de table « série A (en) » de 2 millions de dollars auprès de Venrock et Pelion Venture Partners, complété en juillet 2012 par une levée de 20 millions auprès des mêmes partenaires, ainsi que New Enterprise Associate.
En novembre 2009, Cloudflare a récolté 2,1 millions de dollars à l’occasion d’un premier tour de table de financement qui a abouti à un investissement de Pelion Venture Partners et Venrock. En juillet 2011, un second tour de table de financement a permis la levée de 20 millions de dollars provenant de New Enterprise Associates, Pelion Venture Partners et Venrock.
En 2010, Cloudflare lance une version bêta réservée aux membres de la communauté du projet Honey Pot. Le lancement au grand public se fait le 27 septembre 2010 au cours de la conférence TechCrunch Disrupt.
En juin 2011, le service fait parler de lui en protégeant le site du groupe Lulzsec[7], qui a recours à ses services pour se protéger d'attaques DDOS.
En 2012, il est estimé que plus de 200 millions d'utilisateurs visitent des sites qui sont protégés par Cloudflare. L'entreprise acquiert au même moment environ 1 000 clients par jour[7].
En juin 2012, le groupe de hacker UGNazi attaque Cloudflare via des failles dans le système d'authentification de Google, pour obtenir des accès d'administrateurs au service et défigurer 4chan[8].
En décembre 2012, Cloudflare recueille 50 millions de dollars à l’occasion d'un troisième tour de table auquel ont participé New Enterprise Associates, Pelion Venture Partners, Venrock, Union Square Ventures et Greenspring Associates. En décembre 2014, un quatrième tour de table à l’initiative de Fidelity Investments a permis la levée de 110 millions de dollars, avec des participations de Google Capital, Microsoft, Qualcomm et Baidu[9].
En mars 2013, The Spamhaus Project, organisation qui lutte contre le spam et cliente de Cloudflare, annonce avoir subi une attaque DDoS de très grande ampleur après avoir placé sur sa liste noire le site internet néerlandais CyberBunker (en)[10]. Après les événements, Matthew Prince estime sur le blog de Cloudflare que l'attaque DDoS compterait parmi les plus grosses jamais lancées, avec des pics à 300 Gbit/s sur certaines cibles, avec pour conséquences possibles un ralentissement de la vitesse des accès à Internet en Europe[11].
En juin 2014, Cloudflare acquiert CryptoSeal, fondé par Ryan Lackey, une opération visant à accroître les services de sécurité proposés à l’internaute. En février 2014, Cloudflare a acquis StopTheHacker, qui propose une détection et une suppression automatique des programmes malveillants, ainsi qu’un contrôle des réputations et des listes noires. En décembre 2016, Cloudflare rachète Eager, dans le but de mettre à niveau sa propre plateforme d’applications, afin de permettre une installation de type « glisser-déplacer » d’applications tierces sur des sites où Cloudflare est actif[12].
En 2017, la faille Cloudbleed qui affecte les proxies de Cloudflare a été détectée.
Produits
Cloudflare propose un service gratuit de base, et des options payantes (protection DDoS avancée par exemple). Parmi ses clients, il est possible de citer le gouvernement turc, Stratfor, Laughing Squid ou Metallica[13].
L'infrastructure du service s'appuie sur une version modifiée de Nginx, et intègre la technologie SPDY développée par Google[14]. En , il compte vingt-trois centres de données[15].
Protection DDoS
Cloudflare propose à tous ses clients le paramètre « I'm Under Attack Mode ». Selon Cloudflare, cela peut empêcher les attaques visant la couche 7 en présentant un défi de calcul JavaScript, qui doit être résolu avant qu’un utilisateur puisse accéder à un site Web. Cloudflare a protégé SpamHaus d’une attaque DDoS qui a dépassé 300 Gbits/s. L’architecte principal d’Akamai, une entreprise concurrente, a indiqué qu’il s’agissait de « l’attaque DDoS publiquement annoncée la plus importante de l’histoire d’Internet ». Cloudflare a également indiqué avoir absorbé des attaques qui ont atteint les 400 Gbits/s pour une attaque par réflexion utilisant le service NTP[16].
Pare-feu pour les applications Web
Cloudflare permet aux clients ayant souscrit une formule payante d’utiliser par défaut un service de pare-feu pour les applications Web ; le pare-feu possède l’OWASP ModSecurity Core Rule Set en plus de l’ensemble de règles propre à Cloudflare et des ensembles de règles pour les applications Web populaires[17].
Serveur de noms de domaine
Cloudflare propose un serveur de noms de domaine gratuit (DNS) pour tous les clients qui fonctionnent sur un réseau anycast. Selon W3Cook, le service DNS de Cloudflare alimente en 2016 plus de 35 % des domaines DNS gérés. SolveDNS a estimé que Cloudflare proposait l’une des vitesses de recherche DNS les plus rapides au monde, avec une vitesse de recherche signalée à 8,66 millisecondes en avril 2016[18].
Cloudflare fournit des services DNS à 6 millions de sites Web, notamment : Uber, OKCupid et Fitbit[19]. Depuis début 2018, Cloudflare lance un service DNS gratuit.
Serveur proxy inversé
Le service fait office de serveur proxy inversé pour le trafic sur le Web. Cloudflare prend en charge de nouveaux protocoles Web, y compris SPDY, HTTP/2 et HTTP/3. Outre cela, Cloudflare propose la prise en charge de la transmission des messages (Server Push) par le serveur HTTP/2, ainsi que des websockets proxy[20].
Réseau de distribution de contenu
Le réseau de Cloudflare compte un plus grand nombre de connexions à des points d’échange Internet que n’importe quel autre réseau CDN mondial. Cloudflare met du contenu en cache dans ses emplacements de stockage en cache afin de fonctionner comme un réseau de diffusion de contenu (CDN) ; toutes les requêtes sont ensuite retransmises par proxy inverse via Cloudflare, le contenu en cache étant fourni directement par Cloudflare[21].
Valeurs
Cloudflare s’est fait entendre pour avoir défendu des valeurs de liberté d’expression, le PDG Matthew Prince ayant ainsi déclaré : « L’une des plus grandes forces des États-Unis est la conviction partagée que l’expression, et notamment l’expression politique, est sacrée. Naturellement, un site Web n’est rien d’autre qu’un moyen d’expression... Rien à voir avec une bombe. Il n’implique aucun danger imminent, et aucun fournisseur n’a l’obligation avérée de contrôler ni de déterminer la nature potentiellement néfaste de ce que peut véhiculer un site. » Cloudflare publie chaque semestre un rapport de transparence afin de montrer à quelle fréquence les organismes d’application de la loi exigent des données sur leurs clients[22].
Récompenses et reconnaissance
« Best Enterprise Startup » (Meilleure startup) par TechCrunch, à l’occasion de la 8e cérémonie des Annual Crunchies Awards en février 2015. « Most Innovative Network & Internet Technology Company » pour deux années consécutives, par le Wall Street Journal. En 2012, Cloudflare a été saluée comme pionnière dans le domaine des technologies par le Forum économique mondial. Classée parmi les 10 entreprises mondiales les plus innovantes par Fast Company. En 2016, Cloudflare occupait la 11e place de la liste Cloud 100 de Forbes[23].
Références
- « https://seekingalpha.com/news/3499255-cloudflare-plus-27-percent-nyse-debut » (consulté le )
- « Cloudflare: Number of Employees 2017-2019 | NET » (consulté le )
- "Cloudflare Reveals $50 Million “Secret” Funding — From One Year Ago". AllThingsD.
- "Cloudflare beefs up app platform plans with startup acquisition". Bizjournals.com. Retrieved 2017-02-28.
- The Largest Cyber Attack In History Has Been Hitting Hong Kong Sites. Forbes.
- (en) Our story - Cloudflare.
- (en) Web Security Start-Up Cloudflare Gets Buzz, Courtesy of LulzSec Hackers - All Things Digital.
- (en) The 4chan breach: How hackers got a password through voicemail - Macleans.ca.
- CloudFlare Hints IPO * Could Be Coming, But Not This Year. www.techcrunch.com.
- Cyberattaque contre une entreprise de lutte contre le spam, Le Monde, 28 mars 2013.
- (en) The DDoS That Almost Broke the Internet, Cloudflare Blog.
- Cloudflare acquires app platform Eager, will sunset service in Q1 2017. VentureBeat.
- (en) Cloudflare Gets an Unusual Endorsement from Hacker Group LulzSec - Web host industry review.
- (en) Making The Web Faster: Cloudflare Adds Support For Google’s SPDY Protocol - Techcrunch.
- (en) Today's Outage Post Mortem - Cloudflare.
- Biggest DDoS ever aimed at Cloudflare’s content delivery network. Ars Technica.
- "Cloudflare Web Application Firewall Review". "Fanatic Entrepreneur."
- "April 2016 DNS Speed Comparison Report". "www.solvedns.com."
- "Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug". "The Register."
- "Cloudflare figured out how to make the Web one second faster". "ZDNet."
- "Internet Exchange Report". Hurricane Electric.
- "Cloudflare Releases Transparency Report for First Half of 2015". "Wired Business Media."
- "Forbes Cloud 100". "Forbes."
Voir aussi
Articles connexes
Lien externe
- (en) Site officiel
- Portail d’Internet
- Portail des télécommunications
- Portail des entreprises