HTTP/2 Bomb : une mini-requête suffit pour faire tomber nginx, Apache ou IIS
Il y a des failles qui réclament un arsenal de hacker chevronné, et puis il y a HTTP/2 Bomb, qui se contente de quelques kilo-octets pour faire vaciller des serveurs parmi les plus utilisés de la planète. Dévoilée le 2 juin sous la référence CVE-2026-49975, elle s’attaque à HTTP/2, le protocole qui transporte une bonne partie des pages que vous consultez chaque jour.
Le résultat ressemble à une mauvaise blague. Une poignée d’octets envoyés au bon endroit, et la mémoire vive du serveur se met à enfler jusqu’à engloutir des dizaines de gigaoctets en quelques secondes, jusqu’à ce que la machine ne réponde plus à personne.
On parle ici d’une attaque par déni de service, un DoS dans le jargon, dont le but n’est pas de dérober quoi que ce soit mais d’asphyxier le serveur. Rien de bien neuf, donc, sauf que l’ampleur du désastre, elle, l’est totalement.
Toute l’astuce tient dans le mariage de deux mécanismes connus depuis des lustres. HTTP/2 sait compresser les en-têtes des requêtes pour éviter de répéter cent fois la même chose, et c’est précisément cette générosité que l’attaquant retourne contre le serveur, en faisant référence des milliers de fois à un en-tête glissé une seule fois, si bien que la machine réserve de la mémoire à tour de bras pour quelque chose qui, au départ, ne pèse presque rien. C’est le principe de la bombe de décompression, ce fichier piégé minuscule qui se déplie en montagne de données dès qu’on l’ouvre.
Et comme si ça ne suffisait pas, l’attaquant fait mine de ne pas pouvoir recevoir la réponse, ce qui interdit au serveur de boucler sa tâche et de relâcher ce qu’il a accumulé. Quelques octets envoyés de loin en loin, et la connexion reste ouverte indéfiniment. C’est diabolique de simplicité.
Les chiffres, eux, font carrément peur. Sur Envoy, les chercheurs ont mesuré un rapport de plus de 5 000 pour 1, avec 32 Go engloutis en une dizaine de secondes, là où Apache craque en moins de vingt secondes et nginx comme IIS en moins d’une minute. Une simple connexion domestique à 100 Mb/s peut donc mettre à genoux une infrastructure entière.
Le plus déroutant dans cette histoire, c’est que les deux ingrédients de la recette traînaient en accès libre depuis des années. Il aura fallu attendre l’équipe de Codex, et le chercheur Quang Luong, pour avoir l’idée de les mélanger et constater les dégâts.
Du côté des correctifs, tout le monde n’est pas logé à la même enseigne. nginx a réagi avec sa version 1.29.8 et une nouvelle option pour brider les en-têtes, Apache a corrigé dans mod_http2 2.0.41, mais Microsoft IIS, Envoy et Cloudflare Pingora attendaient encore leur rustine au moment de la divulgation.
Bref, vieille recette, ingrédients connus, mais cocktail dévastateur. Si vous gérez un serveur en HTTP/2, allez vérifier vos versions avant qu’on ne teste la recette à votre place.
Source :
The Hacker News
Leave a Comment