Retour au blog
Securite technique

Cloudflare Workers et Pages sans controle d'acces par ressource

Retour d'experience sur une lacune RBAC structurelle et les limites des contournements.

Author
ALAisha Lalli
Published
Mar 11, 2026
Reading Time
9 min de lecture

Vue d’ensemble

L’article décrit une limite RBAC structurelle de Cloudflare Workers et Pages: impossible de limiter proprement un rôle ou token à un seul projet.

Pourquoi c’est important

Les équipes multi-projets ont besoin du moindre privilège. Un accès trop large complique agences, clients, audits et incidents.

Points clés

  • Le problème touche les rôles UI et les scopes d’API tokens.
  • Comptes séparés, procédures manuelles ou détours CI/CD réduisent le risque sans le supprimer.
  • Les droits larges compliquent onboarding, offboarding et investigation.
  • La solution attendue est un vrai contrôle par ressource.

Actions recommandées

  1. Séparer les projets à fort risque et revoir les accès.
  2. Limiter et faire tourner les tokens API.
  3. Surveiller deployments, secrets et DNS.
  4. Demander des rôles et scopes par projet à Cloudflare.

Conclusion

Les contournements ne remplacent pas un RBAC natif au niveau Worker ou Pages.

Sources

Les sources et les noms de produits sont conservés comme dans l’original afin que les lecteurs puissent vérifier précisément les normes, avis fournisseurs et références citées.