En tentant de résoudre un problème, Cloudflare en a provoqué un autre.
Le réseau de Cloudflare a subi une panne brève mais généralisée vendredi, après une mise à jour de son pare-feu d’application Web visant à atténuer une vulnérabilité dans les composants du serveur React.
À 9 h 09 UTC, la société a signalé qu’elle enquêtait sur des problèmes avec le tableau de bord Cloudflare et les API associées, avertissant que les clients pourraient voir des demandes échouer ou des erreurs s’afficher.
À peine 10 minutes plus tard, il avait déployé un correctif, mais pas avant qu’un flot de rapports faisant état de problèmes avec Cloudflare et ses clients n’afflue sur des sites de suivi de la disponibilité tels que Downdetector.com.
Au cours de la même période, Downdetector a constaté une augmentation des rapports de problèmes pour les services d’entreprise, notamment Shopify, Zoom, Claude AI et Amazon Web Services, ainsi qu’une multitude de services grand public allant des jeux aux applications de rencontres.
Cloudflare a expliqué la panne sur sa page d’état de service : « Une modification apportée à la façon dont le pare-feu d’application Web de Cloudflare analyse les requêtes a entraîné une indisponibilité du réseau de Cloudflare pendant plusieurs minutes ce matin. Il ne s’agissait pas d’une attaque ; le changement a été déployé par notre équipe pour aider à atténuer la vulnérabilité à l’échelle du secteur révélée cette semaine dans les composants du serveur React. «
Cette vulnérabilité, identifiée comme CVE-2025-55182, permet aux attaquants d’exécuter du code à distance sur des serveurs Web exécutant la bibliothèque React 19. Cloudflare tentait sans aucun doute de protéger ceux de ses clients qui n’avaient pas encore eu l’occasion de corriger la vulnérabilité dans les deux jours suivant sa révélation.
Le vacillement des services de Cloudflare survient deux semaines seulement après un problème bien plus important qui a rendu les sites Web de ses clients inaccessibles ou peu fiables pendant des heures le 18 novembre. Cela a été causé par une application Cloudflare générant un fichier de configuration trop volumineux pour qu’une autre application puisse l’analyser, arrêtant ainsi les systèmes.
Cet impact démesuré de cette petite panne sur les sites Web du monde entier n’est pas sans rappeler un bug qui a touché les services AWS le mois précédent. Une erreur de codage dans ses systèmes DNS a rendu inaccessible un point de terminaison DynamoDB. Cela n’aurait pas été si grave, mais de nombreux autres services utilisés par AWS en interne et par ses clients en dépendaient, ils ont donc également été affectés.
Il y a certains avantages à s’appuyer sur des fournisseurs de services uniques tels que Cloudflare ou AWS pour ces tâches, notamment des économies d’échelle et la cohérence des services. Mais cela en fait également des points d’échec uniques : lorsqu’ils tombent en panne, tout s’effondre avec eux. Dans une telle monoculture, les alternatives susceptibles de prendre le relais ont déjà été éliminées.
Cet article a été publié pour la première fois sur Network World.
