Le 5 décembre 2025, une partie d’Internet s’est retrouvée inaccessible pendant près d’une demi-heure. Ce dysfonctionnement, qui a touché 28 % du trafic HTTP géré par Cloudflare, est lié à une faille de sécurité critique nommée React2Shell. Cette vulnérabilité, découverte deux jours auparavant, a obligé l’entreprise américaine à prendre des mesures de maintenance urgentes, entraînant une interruption temporaire de ses services. Découvrez les dessous de cet incident qui met en lumière les défis sécuritaires actuels dans le monde numérique.
L’essentiel à retenir
- Le 5 décembre 2025, Cloudflare a subi une panne affectant 28 % de son trafic HTTP.
- La vulnérabilité React2Shell, découverte le 3 décembre 2025, permet l’exécution de code à distance sur des serveurs utilisant React Server Components.
- Des acteurs malveillants, y compris des groupes soutenus par l’État chinois, exploitent activement cette faille, selon Amazon.
Les causes de la panne de Cloudflare
Le matin du 5 décembre 2025, Cloudflare a été contraint de désactiver temporairement une partie de ses systèmes. Cette décision visait à protéger ses infrastructures contre la vulnérabilité React2Shell, une faille de sécurité d’une gravité maximale. Cette vulnérabilité permet à des attaquants de lancer des codes malveillants sur des serveurs utilisant React Server Components, sans qu’une authentification préalable ne soit nécessaire.
Pour contrer cette menace, Cloudflare a modifié sa manière d’analyser le contenu des requêtes web. Toutefois, ces ajustements ont provoqué une panne, réactivant un ancien bug dans leur architecture de proxy, ce qui s’est traduit par des erreurs « 500 Internal Server » pour de nombreux utilisateurs.
React2Shell : une faille de sécurité critique
La faille React2Shell, découverte le 3 décembre 2025 par le chercheur en cybersécurité Lachlan Davidson, est au cœur des préoccupations des experts en sécurité. Elle touche principalement la partie serveur de la bibliothèque React, particulièrement les React Server Components, ainsi que certains frameworks comme Next.js. Cette vulnérabilité résulte d’un problème de désérialisation, où le processus de conversion des données reçues en objets internes n’est pas suffisamment sécurisé.
Ce défaut permet aux attaquants d’introduire des requêtes HTTP spécialement conçues pour exécuter du code JavaScript malveillant sur le serveur, rendant possible une exécution de code à distance non authentifiée.
Réactions du monde de la cybersécurité
Suite à la découverte de React2Shell, de nombreux acteurs du secteur de la cybersécurité ont émis des alertes. La vulnérabilité est identifiée sous le code CVE-2025-55182 et est activement exploitée, selon les autorités françaises, britanniques et américaines. De plus, Amazon a révélé que plusieurs groupes de menaces, liés à l’État chinois, dont Earth Lamia et Jackpot Panda, tentent d’exploiter cette faille.
Face à cette menace, les développeurs utilisant React Server Components et Next.js sont fortement encouragés à mettre à jour leurs applications pour intégrer les correctifs de sécurité disponibles. En outre, les services d’hébergement et de CDN tels que Cloudflare poursuivent leurs efforts pour renforcer la sécurité de leurs infrastructures.
Contexte et historique de Cloudflare
Fondée en 2009, Cloudflare est une entreprise américaine spécialisée dans la fourniture de services de sécurité et de performance pour les sites web. Elle est reconnue pour son réseau de diffusion de contenu (CDN) et ses solutions de protection contre les attaques DDoS, qui visent à améliorer la sécurité et la vitesse des sites internet à travers le monde.
Cloudflare joue un rôle majeur dans le paysage numérique actuel, en sécurisant et en optimisant la performance de millions de sites web. Son implication dans des incidents comme celui du 5 décembre 2025 souligne l’importance de la vigilance continue face aux menaces de cybersécurité qui évoluent rapidement.