Une « bombe HTTP/2 » permet de paralyser les serveurs web les plus répandus avec quelques kilo-octets

Une vulnérabilité de déni de service (DoS) exploitant le protocole HTTP/2 a été rendue publique le 2 juin sous la référence CVE-2026-49975. Découverte par l'équipe de recherche de Codex et le chercheur Quang Luong, elle a été surnommée « bombe HTTP/2 ». L'attaque repose sur la combinaison de deux mécanismes connus du protocole pour provoquer une saturation massive de la mémoire vive du serveur cible.

Le principe est simple : HTTP/2 permet de compresser les en-têtes des requêtes afin d'éviter de répéter des informations identiques. L'attaquant exploite cette fonctionnalité en faisant référence des milliers de fois à un même en-tête, glissé une seule fois dans la requête initiale. Le serveur, pour traiter ces références, alloue alors de la mémoire de manière exponentielle. À cela s'ajoute une deuxième astuce : l'attaquant simule une incapacité à recevoir la réponse, empêchant le serveur de finaliser la tâche et de libérer la mémoire accumulée. La connexion reste ouverte indéfiniment, ce qui amplifie l'effet de la « bombe de décompression ».

Les tests menés par les chercheurs mettent en lumière l'efficacité dévastatrice de cette technique. Sur le proxy Envoy, un rapport de plus de 5 000 pour 1 entre la charge envoyée et la mémoire consommée a été mesuré : 32 gigaoctets de mémoire vive engloutis en une dizaine de secondes. Apache HTTPD cède en moins de vingt secondes, tandis que NGINX et Microsoft IIS tombent en moins d'une minute. Une simple connexion domestique à 100 mégabits par seconde suffit pour mettre hors service des infrastructures entières.

Correctifs partiels

Plusieurs éditeurs ont réagi avant la divulgation publique. NGINX a publié la version 1.29.8, qui introduit une option permettant de limiter le nombre d'en-têtes. Apache a corrigé la faille dans son module mod_http2 à partir de la version 2.0.41. En revanche, au moment de la communication des chercheurs, Microsoft IIS, Envoy et l'infrastructure Pingora de Cloudflare ne disposaient pas encore de correctif. Les configurations par défaut de ces serveurs, activant HTTP/2, sont considérées comme vulnérables.

Les deux ingrédients de la recette étaient pourtant connus depuis des années, mais personne, avant l'équipe de Codex et Quang Luong, n'avait eu l'idée de les combiner pour observer l'ampleur des dégâts. La vulnérabilité illustre comment des mécanismes légitimes, conçus pour améliorer les performances, peuvent être détournés en arme de saturation mémoire.

Gestionnaires de serveurs en alerte

Aucune donnée personnelle ou système n'est dérobé lors de cette attaque ; l'objectif est exclusivement de paralyser le serveur. Les administrateurs sont invités à vérifier sans délai la version de leurs logiciels mettant en œuvre HTTP/2 et à appliquer les correctifs disponibles. Les serveurs utilisant HTTP/2 en configuration par défaut sont particulièrement exposés. Une page blanche pour l'internaute, un service indisponible pour l'entreprise : le risque opérationnel est réel pour toutes les entités dépendant de ces technologies.