N’abritez pas votre site derrière Cloudflare si ce n’est pas indispensable

 (huijzer.xyz)
3 points par GN⁺ 2025-11-19 | 13 commentaires | Partager sur WhatsApp
  • La panne majeure de Cloudflare a rendu plusieurs sites web inaccessibles, illustrant le problème du point de défaillance unique propre aux services centralisés
  • De nombreux petits et moyens sites utilisent Cloudflare, alors qu’en réalité ils n’ont souvent pas besoin de protection DDoS
  • Les petits blogs ou sites personnels ont peu de chances d’être visés, ce qui crée surtout une dépendance inutile
  • Pour améliorer la disponibilité, il est proposé d’utiliser le round-robin DNS afin de disposer d’un autre serveur en secours
  • Pour préserver le principe de décentralisation du web, il est important de ne pas dépendre excessivement de services intermédiaires comme Cloudflare

Panne de Cloudflare et problème de point de défaillance unique

  • Au moment de la rédaction (18 novembre à 12:43 UTC), un incident chez Cloudflare a mis à l’arrêt plusieurs sites
    • L’auteur indique avoir constaté des erreurs sur environ la moitié des sites qu’il parcourait
  • Cet incident montre que dépendre d’un service centralisé crée un point de défaillance unique (single point of failure)
  • Même les grandes entreprises peuvent commettre des erreurs ou subir des pannes, avec des effets à grande échelle

Une peur excessive de la protection DDoS

  • Beaucoup utilisent Cloudflare par crainte des attaques DDoS
  • Pourtant, la plupart des petits sites n’ont que quelques milliers de visiteurs par mois et ont peu de chances d’être ciblés
  • En reprenant une formule du secteur de la sécurité, l’auteur souligne que « personne ne gaspille un zero-day pour vous »
    • Autrement dit, il n’y a aucune raison d’employer des moyens d’attaque sophistiqués contre un petit blog

Le web décentralisé et la contradiction d’une dépendance à Cloudflare

  • Beaucoup défendent l’importance d’un web décentralisé, tout en plaçant en pratique leur site derrière Cloudflare
  • Ce comportement est présenté comme contradictoire
  • Lorsqu’une panne Cloudflare survient, ces sites deviennent eux aussi inaccessibles

Alternative : la redondance via le round-robin DNS

  • Pour améliorer la stabilité des serveurs, il est proposé de mettre en place un deuxième serveur dans un autre lieu, puis
    d’utiliser une configuration round-robin DNS avec des enregistrements A et AAAA
  • Cela permet de répartir le trafic vers l’autre serveur même si l’un d’eux tombe en panne

Message clé

  • Il est plus important de gérer directement son exploitation que de multiplier les protections par excès de prudence
  • Un site peut certes être temporairement indisponible, mais il est possible d’éviter une interruption totale causée par une panne de Cloudflare
  • En définitive, exposer et administrer soi-même son service sur Internet est un choix plus souhaitable

À lire aussi

13 commentaires

 
haytsir 2025-11-24

Même en regardant tous les autres DNS, y compris les acteurs coréens, il n’y en a aucun qui adopte les nouvelles technologies aussi vite que Cloudflare et qui offre une palette de fonctionnalités aussi large.
Et pourtant, ce n’est pas comme si les prix étaient différents.
 
j2sus91 2025-11-20

Même pour un petit site, on se fait attaquer,..
 
minsuchae 2025-11-20

Ce serait bien s’il existait une alternative à Cloudflare, mais tant qu’il n’y en a pas vraiment, je pense qu’il vaut mieux utiliser Cloudflare.
D’autres partagent un avis similaire,
pour ma part, lors d’une panne réelle, je me suis demandé à cause de l’erreur si le service fonctionnait normalement, mais au final j’ai quand même pu désactiver le proxy DNS et régler le TTL DNS à 1 minute pour modifier temporairement la configuration afin que le service continue à être assuré...
Qu’il faille une alternative, c’est certain, mais je trouve qu’il est absurde de ne pas l’utiliser du tout.
 
shakespeares 2025-11-20

MDRRRR
 
colus001 2025-11-20

Il semble plus réaliste d’espérer l’apparition d’un concurrent...
 
qpolsa95 2025-11-20

Dans les cas où on l’utilise moins pour le DDoS que pour masquer la véritable IP du serveur, qu’en est-il ?
 
GN⁺ 2025-11-19
Avis Hacker News

  • Même un petit blog avec une centaine de visiteurs par mois peut subir une attaque DDoS
    Si un attaquant le décide, il peut acheter un service de DDoS pour quelques dollars, et l’hébergeur coupera le serveur
    C’est pour cette raison que j’écris sous un compte anonyme. Dire « c’est un petit site donc ça va » n’est pas une stratégie de sécurité

    • Je me demande quel type d’indisponibilité pèse le plus au total entre les pannes causées par un DDoS et celles causées par un CDN ou un service tiers
      Je pense que ce n’est pas grave si un site personnel tombe brièvement
    • Pour un blog personnel, réduire la complexité et les coûts me semble plus important
      Activer Cloudflare à l’avance ressemble à une optimisation prématurée
    • Le coût d’un blog hors ligne pendant quelques heures est presque nul
      Bien inférieur à quelques dollars dépensés par quelqu’un pour lancer un DDoS
    • Sans être derrière un CDN, l’IP du serveur est exposée, et à moins que l’attaquant ne soit pas très malin ou qu’il ne change pas d’IP, il est presque impossible de se défendre
    • J’ai déjà vu mon site de conseil subir un DDoS après avoir exprimé une opinion politique
      Depuis, j’utilise un pseudonyme. Les gens sont plus malveillants qu’on ne le pense

  • Mettre les ressources statiques sur un CDN permet de s’éloigner d’un point de défaillance unique (SPOF)
    Je préfère encore que, quand mon site tombe, une grande entreprise avec des milliers d’ingénieurs tombe aussi

    • Lors d’une panne passée de Cloudflare, le CEO avait dit « gérez ça », mais cela ne justifiait pas que la petite équipe y consacre plusieurs mois de ressources
      Selon l’échelle, on peut ne pas avoir besoin de Cloudflare, mais il faut évaluer la valeur par rapport au risque
    • On réduit le SPOF technique, mais la culture ou les politiques de l’organisation d’exploitation peuvent affecter l’ensemble du système
      Utiliser Cloudflare est rationnel pour la plupart des gens, mais cela crée aussi une dépendance
    • Comme le dit l’expression « personne ne se fait virer pour avoir choisi Oracle », choisir Cloudflare donne un peu la même impression
      Cela dit, trouver normal d’accepter les pannes comme une sorte de météo cyber paraît étrange aujourd’hui
    • Rejeter le problème sur quelqu’un d’autre est aussi, d’une certaine manière, une solution
    • J’ai désactivé Cloudflare pendant un moment, et lorsque Cloudflare tombait, mon site restait accessible
      Pour un petit site, l’effet de cache est presque nul, donc le gain de performance n’est pas énorme

  • J’exploite un site PHP avec presque pas de trafic, mais il y a énormément de trafic de bots
    Sans CDN, le site ne tient pas juste avec un cache local
    Quand un grand média m’avait mentionné via Fastly, le CDN m’avait aussi permis d’absorber la charge sans problème

    • Pour se passer d’un service comme Cloudflare, il faut absolument contrôler les scrapers et les bots
      Mais en pratique, c’est presque impossible. Et même s’il y avait une régulation, cela pourrait être encore plus nuisible

  • Même pour de petits sites comme les nôtres, il y a trop de requêtes malveillantes sans Cloudflare
    Sans filtrage, les analyses de données deviennent inutilisables, et cela crée aussi des problèmes dans la collaboration avec des partenaires métier
    Même lors d’une panne de Cloudflare, on a pu revenir en ligne en moins d’une minute simplement en changeant le DNS
    C’est un coût regrettable, mais le filtrage en amont du load balancer nous satisfait plutôt bien

    • En revanche, si l’IP d’origine est exposée, les attaques directes peuvent augmenter
      Même bloquées par le pare-feu, elles consomment toujours des ressources CPU

  • Cloudflare est gratuit et la configuration est très simple
    Je ne vois pas pourquoi ne pas l’utiliser. L’auteur semble mal comprendre le rôle de Cloudflare

    • Mais si tout le monde utilise Cloudflare, cela renforce au final la centralisation d’Internet
      Cloudflare devient en quelque sorte l’arbitre de l’accès à Internet
    • Cette centralisation est préoccupante, mais pour la plupart des utilisateurs, la commodité compte davantage
    • Personnellement, je préfère la décentralisation, mais utiliser Cloudflare pour apprendre reste une bonne expérience
    • Les plaintes exagérées du genre « une panne de 3 heures tous les 3 ans » n’ont pas vraiment de sens
    • En Allemagne, il arrive que plus de la moitié des sites derrière Cloudflare soient inaccessibles en soirée

  • Mon serveur subit souvent un gros trafic venant de Facebook, Azure ou OpenAI
    Je le bloque avec des règles Cloudflare, mais il y a aussi parfois des DDoS provenant de Chine ou de Russie
    Je me demande s’il existe une autre solution que Cloudflare pour remplacer ce type de règles complexes

    • Au début des années 2000, mon site a été mentionné sur Slashdot et a été « slashdotted », mais il n’y a pas eu de dégradation des performances
      Je me demande si les serveurs d’aujourd’hui ne sont pas trop faibles
    • Les requêtes du gptbot d’OpenAI arrivent sans arrêt
    • Les autres CDN ont une surface d’attaque plus faible, mais sont aussi moins ciblés
    • Certains répondent avec cynisme que le marché a déjà tranché

  • On peut utiliser Cloudflare, mais il ne faut pas mettre son bureau d’enregistrement DNS chez Cloudflare
    Nous aussi, notre registrar était chez Cloudflare, ce qui nous a brièvement mis dans un état de verrouillage et a compliqué la restauration
    Il vaut mieux séparer le DNS, le domaine et le fournisseur d’infrastructure

    • Mais aujourd’hui, même les registrars et fournisseurs DNS utilisent souvent Cloudflare comme protection
    • Les pannes de fournisseurs DNS sont elles aussi un facteur de risque. L’auto-hébergement engendre encore d’autres coûts et problèmes

  • Les pannes régionales liées à Cloudflare étaient souvent dues à des problèmes BGP
    Voir à ce sujet le blog Cloudflare et la discussion HN
    Pour la plupart des sites, mieux vaut utiliser Cloudflare, mais avec des DDoS imprévisibles, il n’existe pas de réponse parfaite

    • L’affirmation selon laquelle la plupart des sites ont intérêt à utiliser Cloudflare manque de fondement
      Je me demande sur quels critères on dit « la plupart »
    • Un seul DDoS ne fait pas couler un site. On peut aussi activer Cloudflare plus tard, quand c’est nécessaire
    • Cloudflare entraîne centralisation et atteintes à la vie privée
      Il faut se souvenir de la fuite de données de 2017

  • J’expose plusieurs projets depuis un serveur à la maison via un tunnel Cloudflare
    Mon FAI ne fournit pas d’IP fixe, ce qui me permet d’éviter le DNS dynamique, et je n’ai pas besoin d’ouvrir de ports
    C’est pratique, car cela gère le cache, le rate limiting et le blocage des bots presque sans configuration

  • Désormais, Cloudflare donne moins l’impression du « vrai Internet » que d’un énorme intranet privé

    • Je me demande à quelle réglementation Cloudflare est soumis et si la protection de la vie privée est réelle
      Si on lui confie le SSL, peut-il voir les paquets, et collabore-t-il avec des agences gouvernementales ?
      Il est triste de voir le modèle décentralisé d’Internet se transformer en une réalité centralisée autour de Cloudflare ou des réseaux sociaux
      Les discussions sur la fédération sont porteuses d’espoir, mais en ce moment, c’est une période où il est difficile de préserver autonomie et vie privée
 
eoeoe 28 일 전

J’ai déjà subi une attaque DDoS même avec un tout petit site qui n’a qu’un nombre de visiteurs à deux chiffres, snif.
 
wedding 2025-11-20

C’est le genre de raisonnement qui revient à dire qu’on ne fait pas de kimchi de peur d’avoir des asticots.
 
youknowone 2025-11-20

Les petits sites ne sont généralement pas très affectés par un temps d'arrêt de l'ampleur d'une panne de Cloudflare...
 
mstorm 2025-11-20

Le train et le bus sont dangereux, alors marchez. C’est l’impression que ça donne.
 
t7vonn 2025-11-20

Moi, je vais simplement l’utiliser.
 
yangeok 2025-11-20

Moi aussi ^^