Une méthode d’attaque par déni de service (DoS) a été révélée. Nommée HTTP/2 Bomb, elle est capable de rendre inaccessibles les serveurs web les plus répandus en quelques secondes à partir d’une unique machine.
Mise au jour par Codex d’OpenAI sous la supervision de chercheurs de la société de sécurité offensive Calif, cette technique affecte les configurations par défaut de serveurs comme nginx, Apache httpd, Microsoft IIS, Envoy et Cloudflare Pingora.
Comment fonctionne la cyberattaque par déni de service ?
L’exploit HTTP/2 Bomb n’est pas entièrement nouveau dans ses composants, mais sa force réside dans la combinaison de deux faiblesses connues depuis près d’une décennie.
La première est en lien avec la compression HPACK. L’attaquant envoie un en-tête dans la table de compression du serveur, puis le référence des milliers de fois avec un seul octet. Ce mécanisme crée une amplification massive, où un octet envoyé par l’attaquant peut forcer l’allocation de plusieurs milliers d’octets de mémoire sur le serveur.
La seconde partie de l’attaque par déni de service est un blocage de type Slowloris, qui exploite le contrôle de flux de HTTP/2. L’attaquant annonce une fenêtre de flux de zéro octet, empêchant le serveur de finaliser sa réponse et de libérer la mémoire allouée. En envoyant de minuscules mises à jour, l’attaquant maintient la connexion ouverte indéfiniment, bloquant ainsi les ressources mémoire.
Quelle est l’ampleur de l’impact sur les serveurs ?
Les chercheurs de Calif démontrent qu’un ordinateur personnel sur une connexion de 100 Mbit/s peut rendre un serveur vulnérable inaccessible en quelques secondes.
Les tests ont montré des résultats alarmants pour les serveurs web majeurs. Contre Apache et Envoy, un unique client peut consommer et retenir 32 Go de mémoire serveur en une dizaine de secondes seulement.
Les ratios d’amplification sont particulièrement élevés, jusqu’à 5 700:1 pour Envoy et 4 000:1 pour Apache. La technique est d’autant plus pernicieuse qu’elle contourne les protections classiques.
Des correctifs déjà disponibles
Face à la menace et grâce à des divulgations en amont, des correctifs ont été déployés, mais tous les éditeurs n’ont pas encore réagi.
Pour nginx, il est impératif de passer à la version 1.29.8 ou supérieure. Pour Apache, la faille référencée CVE-2026-49975 est corrigée dans la version 2.0.41 de mod_http2. Envoy a également publié des correctifs pour atténuer une telle attaque.