Derrière la récente panne Cloudflare, une mesure de protection contre la faille React

Cloudflare a connu une panne majeure le 5 décembre 2025 qui a duré environ 25 minutes, entre 09h47 et 10h12, heure française. L'incident a affecté environ 28 % du trafic HTTP total transitant par son réseau, provoquant des erreurs HTTP 500 pour les clients concernés.

Protection lourde

La faute à un bug logiciel déclenché lors du déploiement d'une protection contre la vulnérabilité CVE-2025-55182 affectant React Server Components. Pour contrer cette faille critique (score CVSS de 10/10), Cloudflare a en effet créé de nouvelles règles dans son WAF (Web Application Firewall) et augmenté la taille du buffer d'analyse des requêtes HTTP de 128 ko à 1 Mo pour protéger ses clients utilisant Next.js.

Durant le déploiement de cette augmentation, un outil interne de test a généré des erreurs. L'équipe a alors décidé de le désactiver via son système de configuration globale, qui propage rapidement (« en quelques secondes ») les changements sur l'ensemble du réseau.

Cette modification a exposé un bug latent dans le proxy FL1 (une ancienne version). Le code Lua contenait une erreur de type « nil pointer » lors du traitement des règles du WAF avec action « execute » lorsque celles-ci étaient désactivées via le killswitch. Seuls les clients utilisant le proxy FL1 avec le Cloudflare Managed Ruleset déployé ont été touchés. Ce type d'erreur n'aurait pas pu se produire avec FL2, le nouveau proxy écrit en Rust, affirme Cloudflare.

Cloudflare se concentre sur les correctifs

Cet incident survient seulement deux semaines après une autre panne majeure le 18 novembre 2025. Cloudflare reconnaît que les modifications de sécurité promises après cette première panne n'ont pas encore été complètement déployées.

L'entreprise s'engage à publier cette semaine un plan détaillé des projets de résilience en cours, incluant des diffusions progressives améliorées avec validation automatique de la santé des services, des capacités de rollback rapide et une logique « fail-open » pour éviter que les erreurs de configuration ne bloquent le trafic. En attendant, tous les changements sur leur réseau sont mis en pause.

Source : Lire l'article original

L’Europe accepte les engagements de TikTok sur les publicités

Le réseau social TikTok est sous le coup de plusieurs enquêtes de la Commission européenne dans le cadre des règlements sur les services numériques. Vendredi, l’Europe « a obtenu l'engagement de TikTok de fournir des répertoires publicitaires qui garantissent une transparence totale des publicités sur ses services ». Les

Fâché de sa condamnation, X ferme le compte publicitaire de la Commission européenne

La condamnation de X à 120 millions d'euros d'amende pour non-respect du Digital Services Act (DSA), prononcée vendredi par Bruxelles, n'est pas bien passée du côté d'Elon Musk et de ses équipes. Alors que le propriétaire de l'ex-Twitter a vitupéré

2026 : l'IA agentique souhaite une bonne année à la cybersécurité

Cette semaine GreenSI a passé une heure fascinante avec David Grout, CTO de Mandiant (Google Cloud Security) pour l'Europe, à décortiquer le rapport Cybersecurity Forecast 2026. Et si on devait résumer en une phrase ce qui nous attend : Les attaquants ne vont plus simplement utiliser l'IA,

ZDNET Morning 12/12/2025

Le ZDNET Morning c'est LE condensé de l'actu tech pour les pros tous les matins à 9h00 sur le site. Transformation numérique, IA, matériel, logiciels,... ne passez pas à côté de ce qui fait la Une du secteur. ⚡ OpenAI riposte en urgence avec GPT-5.2 -