đŸ—“ïž Contexte

PubliĂ© le 3 juin 2026 sur BleepingComputer, cet article prĂ©sente une nouvelle technique d’attaque par dĂ©ni de service (DoS) nommĂ©e HTTP/2 Bomb, dĂ©couverte par l’agent logiciel Codex d’OpenAI sous la direction de chercheurs de la sociĂ©tĂ© de sĂ©curitĂ© offensive Calif.

🔍 MĂ©canisme de l’attaque

L’attaque combine deux mĂ©thodes DoS HTTP/2 prĂ©existantes :

  • Amplification HPACK : un en-tĂȘte est insĂ©rĂ© dans la table dynamique HPACK et rĂ©fĂ©rencĂ© rĂ©pĂ©titivement via une reprĂ©sentation indexĂ©e compacte d’un seul octet. Un octet envoyĂ© par l’attaquant peut provoquer des milliers d’octets d’allocation mĂ©moire cĂŽtĂ© serveur (ratio jusqu’Ă  5 700:1 pour Envoy, 4 000:1 pour Apache httpd).
  • Blocage de libĂ©ration mĂ©moire via flow-control HTTP/2 (style Slowloris) : en annonçant une fenĂȘtre de contrĂŽle de flux Ă  zĂ©ro octet, le serveur ne peut jamais finaliser la rĂ©ponse et continue d’envoyer des trames WINDOW_UPDATE pour Ă©viter les timeouts. La mĂ©moire allouĂ©e n’est jamais libĂ©rĂ©e.

Cette combinaison permet Ă  une seule machine sur une connexion 100 Mbps d’Ă©puiser des dizaines de gigaoctets de RAM en quelques secondes.

📊 RĂ©sultats des tests

Serveur RAM épuisée Durée
Envoy 1.37.2 32 Go ~10 secondes
Apache httpd 2.4.67 32 Go ~18 secondes
nginx 1.29.7 32 Go ~45 secondes
IIS (Windows Server 2025) 64 Go ~45 secondes

đŸ›Ąïž Contournement des dĂ©fenses existantes

L’attaque contourne les limites classiques sur la taille totale des en-tĂȘtes dĂ©codĂ©s, car les valeurs d’en-tĂȘtes utilisĂ©es sont minuscules. L’amplification provient de la comptabilitĂ© interne par en-tĂȘte et des allocations mĂ©moire associĂ©es.

🔧 Correctifs disponibles

  • nginx 1.29.8 : correctif disponible (directive max_headers ajoutĂ©e)
  • Apache httpd mod_http2 2.0.41 : correctif disponible, identifiant CVE-2026-49975
  • IIS, Envoy, Pingora : aucun correctif disponible au moment de la publication

Un PoC (proof-of-concept) a déjà été publié. Les détails techniques complets seront présentés à la conférence Real World AI Security par le chercheur Quang Luong.

📌 Type d’article

Il s’agit d’une publication de recherche prĂ©sentant une nouvelle technique d’attaque DoS avec rĂ©sultats expĂ©rimentaux, dĂ©tails techniques et Ă©tat des correctifs.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1499 — Endpoint Denial of Service (Impact)
  • T1499.001 — OS Exhaustion Flood (Impact)

IOC

  • CVEs : CVE-2026-49975 — NVD · CIRCL

🟡 Indice de vĂ©rification factuelle : 49/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4340 chars — texte complet (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vĂ©rifiĂ© (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ⬜ date RSS ou approximĂ©e (0pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ 0/1 CVE(s) confirmĂ©e(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/

🖮 Archive : https://web.archive.org/web/20260604073231/https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/