Une nouvelle faille de sécurité informatique, baptisée HTTP/2 Bomb, menace de perturber les serveurs web les plus utilisés comme NGINX, Apache et Cloudflare. Cette vulnérabilité dangereuse permet à un attaquant distant de lancer une attaque par déni de service (DoS), rendant les serveurs inaccessibles. Une implication majeure pour la cybersécurité mondiale.
Origine et mécanisme de la vulnérabilité HTTP/2 Bomb
Les chercheurs en cybersécurité ont découvert que cette vulnérabilité repose sur la combinaison de deux techniques précédemment connues : une bombe de compression et une méthode de blocage de type Slowloris. La bombe cible HPACK, le schéma de compression des en-têtes d’HTTP/2, en exploitant sa capacité à convertir un seul octet en une allocation d’en-tête complète sur le serveur. Cela est répété des milliers de fois par requête, provoquant une saturation des ressources serveur.
HPACK et les challenges de la compression
HPACK utilise un algorithme de compression dédié pour minimiser les métadonnées des requêtes et réponses HTTP/2, réduisant ainsi de 30% la taille des en-têtes. Conçu pour résister aux attaques comme CRIME, il protège contre la fuite d’informations sensibles.
Slowloris : une attaque DoS redoutable
La méthode Slowloris exploite la capacité à ouvrir et maintenir simultanément de nombreuses connexions HTTP. Cela surcharge le serveur ciblé, épuisant ses ressources et impactant la disponibilité des services web.
Impact et contre-mesures pour se prémunir contre HTTP/2 Bomb
Cette vulnérabilité dévastatrice peut rendre un serveur vulnérable inaccessible en quelques secondes. Par exemple, un ordinateur personnel avec une connexion de 100 Mbps pourrait épuiser la mémoire d’un serveur Apache HTTPD et Envoy en moins de 20 secondes. Pour vous protéger contre cette menace, des mises à jour et configurations sont recommandées.
Solutions de mitigation proposées
Pour NGINX, une mise à jour vers la version 1.29.8+ introduit la directive max_headers pour limiter le nombre d’en-têtes. Pour Apache HTTPD, la faille est corrigée dans le module mod_http2 v2.0.41. Microsoft IIS, Envoy et Cloudflare n’ont pas encore de mise à jour disponible. Explorez notre service d’audit de cybersécurité pour évaluer votre configuration de sécurité.
L’amélioration de la gestion des risques mémoire
Les chercheurs soulignent que la spécification actuel présente des faiblesses dans sa gestion du risque mémoire. L’amplification de 70:1 reste inoffensive si la mémoire est libérée à la fin de la requête. Cependant, HTTP/2 permet de maintenir la connexion ouverte, bloquant ainsi les octets alloués. La consultation en cybersécurité peut aider à anticiper et contrecarrer ce genre de menace.
En conclusion, la protection des serveurs web contre des menaces telles que la HTTP/2 Bomb est essentielle pour maintenir la disponibilité et la sécurité des services. Chez CyberCare, nous offrons des solutions adaptées pour améliorer la cybersécurité de votre infrastructure en ligne.
