Sécurité : Une faille critique HTTP/2 baptisée « Bomb » sème la panique sur les serveurs web!!

-

Salut à tous les amoureux de l'infra, du réseau et de la cybersécurité,

C’est l'alerte rouge du jour pour les administrateurs système et réseaux. Ce 9 juin 2026, le cabinet de conseil en sécurité Calif a révélé une vulnérabilité critique affectant le protocole HTTP/2. Baptisée « HTTP/2 Bomb » et enregistrée sous la référence CVE-2026-49975, cette faille permet à un attaquant de saturer la mémoire vive (RAM) d'un serveur web avec un volume de trafic dérisoire, entraînant un déni de service (DoS) immédiat.

Ce qui interpelle la communauté de la tech, c'est que ce bug de configuration par défaut a échappé à plus d'une décennie de revues de code humaines. Il a fallu une analyse automatisée assistée par l'IA d'OpenAI (Codex) pour enfin débusquer le loup.

Fiche technique de la faille CVE-2026-49975

  • Nom de code : HTTP/2 Bomb

  • Type de faille : Épuisement des ressources / Déni de service (DoS / DDoS)

  • Composant ciblé : Hpack, le mécanisme de compression d’en-têtes natif de HTTP/2.

  • Serveurs affectés : Nginx, Apache HTTP Server, Microsoft IIS, Envoy et Pingora (Cloudflare).

  • Portée globale : Plus de 880 000 sites web actifs sont potentiellement exposés selon Shodan.

Anatomie de l'attaque : Le mariage d'une "Bombe" et d'un "Slowloris"

Pour comprendre la violence de l'attaque, il faut se pencher sur la façon dont HTTP/2 gère sa table d'en-têtes dynamique pour optimiser les performances et la vitesse. La technique développée par les attaquants combine habilement deux concepts historiques de la sécurité réseau :

  1. La Bombe de compression (Côté Hpack) : L'attaquant envoie une requête spécialement forgée. Grâce au mécanisme Hpack, un seul octet envoyé sur le réseau force le serveur cible à allouer une structure d'en-tête complète en mémoire RAM. Cette opération est répétée artificiellement des milliers de fois au sein d'une unique requête.

  2. Le Blocage (Type Slowloris) : Une fois la mémoire saturée par ces allocations massives, l'attaquant utilise une fenêtre de contrôle de flux réseau fixée à zéro octet. Cette astuce technique paralyse le serveur en l'empêchant de libérer ou de nettoyer la mémoire allouée.

Le résultat : Un trafic réseau minuscule et presque indétectable par les pare-feux classiques suffit à saturer instantanément la RAM du serveur et à faire crasher l'infrastructure.

État des lieux des correctifs (Juin 2026)

L'alerte ayant été partagée en amont par Calif aux différents éditeurs, la course aux patchs est lancée. Voici les versions de sécurité à déployer de toute urgence :

  • Nginx : Correctif disponible. Mettre à jour vers la version v1.29.8 ou supérieure.

  • Apache HTTP Server : Correctif disponible. Mettre à jour le module associé vers mod_http2 v2.0.41.

  • Envoy : Correctif disponible depuis le 3 juin pour les branches 1.35.11, 1.36.7, 1.37.3 et 1.38.1.

  • Microsoft IIS & Pingora (Cloudflare) : Aucun correctif officiel n'était disponible au moment de la publication.

Comment se protéger en attendant les patchs ?

Si vous administrez des serveurs sous Microsoft IIS ou que vous utilisez des briques basées sur Pingora sans possibilité de mise à jour immédiate, Calif conseille deux mesures d'urgence :

  • Solution radicale : Désactiver purement et simplement le support du protocole HTTP/2 sur vos serveurs pour basculer sur HTTP/1.1 (plus lourd) ou accélérer la migration vers HTTP/3 (qui repose sur le protocole chiffré QUIC et n'utilise pas la même configuration).

  • Solution de contournement (Mitigation) : Placer un équipement en frontale (un Reverse Proxy, un pare-feu applicatif / WAF ou un load balancer) en y configurant une limite stricte et agressive sur le nombre maximal d'en-têtes autorisés par requête.

L'avis du blog :

Ce n'est pas la première fois que HTTP/2 se prend les pieds dans le tapis de ses propres optimisations (on se rappelle de la faille de multiplexage en 2023). Cet épisode met surtout en lumière l'apport concret de l'IA dans l'audit de code : trouver un bug de logique conceptuelle vieux de 11 ans sur des projets aussi surveillés que Nginx ou Apache est un tour de force. Si vous gérez un serveur dédié ou un homelab exposé sur le web, ne traînez pas ce soir : un petit apt update && apt upgrade (ou une mise à jour de vos conteneurs Docker) s'impose pour appliquer les versions corrigées. 

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Règlement d'un montant de 1,375 milliard de dollars de Google pour le Texas!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de Google qui a   récemment accepté de verser 1,375 milliard de dollars à l'État du Texas pour régler deux poursuites l'accusant de suivre les données personnelles des utilisateurs, y compris leur localisation, leurs recherches en mode incognito, ainsi que leurs données vocales et faciales, sans leur consentement. Ces poursuites ont été initiées par le procureur général du Texas, Ken Paxton, en 2022. Ce règlement est le plus important jamais obtenu par un procureur général contre Google en matière de lois sur la vie privée au niveau national. Paxton a déclaré : « Au Texas, Big Tech n'est pas au-dessus des lois. » Un porte-parole de Google a indiqué que l'entreprise réglait ces poursuites sans admission de culpabilité et sans avoir à modifier ses produits. José Castañeda a précisé que ce règlement concernait des réclamations anciennes, dont beaucoup avaient déjà été résolues ailleurs, et a souligné que Google cont...
Lire la suite

Clap de fin sur le rachat Activision Blizzard par Microsoft: la FTC perd en appel!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour la fin du feuilleton du rachat d'Activision Blizzard King par Microsoft touche à sa fin. La Federal Trade Commission (FTC), l'autorité américaine de la concurrence, a perdu son appel visant à bloquer cette acquisition de 69 milliards de dollars. Cette décision judiciaire lève le dernier obstacle juridique aux États-Unis, rendant l'opération désormais officielle sur ce marché clé. Une victoire décisive pour Microsoft Après plusieurs mois de batailles judiciaires, Microsoft a triomphé. La cour d'appel américaine a confirmé la décision de première instance, rejetant les arguments de la FTC qui tentait d'obtenir une injonction pour suspendre le rachat. Ce revers pour le régulateur souligne son incapacité à freiner la consolidation dans le secteur technologique et du jeu vidéo. Les préoccupations de la FTC La FTC s'était opposée à cette acquisition en évoquant des risques pour la concurrence, craignant que Microsoft ...
Lire la suite

Investissement d'un montant d'1 milliard d'euros dans un data center européen par Tik Tok!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de l'annonce de TikTok à propos d'un investissement d'un milliard d'euros pour la construction d'un nouveau data center à Kouvola, dans le sud-est de la Finlande.  La semaine précédente, l'Union européenne avait infligé une amende de 530 millions d'euros à TikTok, accusé de transférer les données des utilisateurs européens vers la Chine sans garanties suffisantes contre l'accès des autorités chinoises. En réponse, TikTok a annoncé son intention de faire appel de cette décision. L'initiative en Finlande s'inscrit dans le cadre du Projet Clover, un programme plus vaste de 12 milliards d'euros lancé par TikTok pour renforcer la protection des données de ses 175 millions d'utilisateurs européens. L'entreprise considère cette infrastructure comme une « étape significative » dans son engagement envers la sécurité des données sur le continent. Le futur data center permettra de stocker...
Lire la suite