Une nouvelle vulnérabilité, appelée HTTP/2 Bomb et référencée sous CVE-2026-49975, a récemment été dévoilée, démontrant à quel point il peut être dangereux d’un simple petit envoi de données. Cette faille exploite la compression d’en-têtes et la gestion des réponses dans le protocole HTTP/2 pour provoquer une saturation mémoire rapide des serveurs web, entraînant un déni de service (DoS). En quelques kilo-octets envoyés, des serveurs ultra-occupés comme Envoy, Apache, nginx ou IIS peuvent voir leurs ressources s’effondrer en quelques secondes, rendant les sites inaccessibles.
Ce phénomène repose sur une double manœuvre. D’une part, il s’appuie sur la mécanisme de compression des en-têtes HTTP/2, qui conserve en mémoire des en-têtes compressés pour éviter leur répétition. En référence à un seul en-tête introduit une fois, une attaque peut faire référence des milliers de fois ce même en-tête, obligeant le serveur à réserver une énorme quantité de mémoire pour traiter des données apparemment minuscules. D’autre part, l’attaquant maintient la connexion ouverte en empêchant le serveur de finaliser la transaction, car la réponse ne revient jamais, ce qui empêche la libération de mémoire et fait enfler la charge mémoire jusqu’à saturation.
Cette vulnérabilité démontre que quelques kilo-octets peuvent suffire à faire vaciller les serveurs les plus répandus, avec des conséquences potentiellement dévastatrices.
Les chiffres rapportés sont éloquent : pour une attaque sur Envoy, une amplification de plus de 5 000 pour 1 a été mesurée, avec 32 Go de mémoire consommés en une dizaine de secondes. Apache peut également être obligé de s’arrêter en moins de vingt secondes, avec nginx et IIS qui tombent en moins d’une minute. Ces statistiques illustrent la gravité du problème, qui peut mettre à genoux n’importe quelle infrastructure web en un temps record, même via une simple connexion domestique à 100 Mbps.
Ce qui rend cette situation particulièrement préoccupante, c’est que les composants nécessaires pour exploiter la vulnérabilité sont open source ou déjà disponibles depuis longtemps. Les chercheurs de Codex et Quang Luong ont simplement combiné ces éléments pour créer cette bombe en quelques jours. Sur le plan des correctifs, nginx a publié la version 1.29.8 avec une option pour limiter la taille des en-têtes, Apache a corrigé dans mod_http2 2.0.41, mais des acteurs majeurs comme Microsoft IIS, Envoy et Cloudflare Pingora attendaient encore leur mise à jour au moment de la divulgation.
Il est impératif pour les administrateurs et gestionnaires de serveurs HTTP/2 de vérifier rapidement la version de leurs logiciels et d’appliquer ces correctifs pour éviter d’être la prochaine cible d’une attaque facile à déployer, mais dévastatrice. La simplicité de l’exploitation ne doit pas faire oublier la nécessité de rester vigilant face à cette menace qui illustre encore une fois que la sécurité des protocoles web doit évoluer en parallèle de leur complexité croissante.
Les outils pour exploiter cette faille sont déjà disponibles, rendant la protection des serveurs web indispensables pour éviter une catastrophe de grande ampleur.
