Accueil > Blog > Une faille majeure découverte dans le protocole HTTP/2

Une faille majeure découverte dans le protocole HTTP/2

juin 4, 2026 Par Thib Tutoriel
Une faille majeure découverte dans le protocole HTTP/2

Jusqu’à aujourd’hui, la destruction d’un serveur web nécessitait des ressources : un botnet, des milliers de machines compromises et un trafic coordonné à haut volume. Une vulnérabilité divulguée hier et appelée HTTP/2 Bomb modifie toutefois cette équation.

Cette vulnérabilité a été publiée le 3 juin 2026 par le chercheur en sécurité Quang Luong. Elle permet à un seul attaquant d’épuiser la mémoire des serveurs Nginx, Apache et IIS à partir d’une seule connexion jusqu’à ce qu’ils plantent ou cessent de répondre. Il n’y a donc pas besoin de botnet ou de bande passante élevée. Aucune authentification requise non plus.

Pour les fournisseurs d’hébergement, l’implication commerciale est directe. Un pirate peut donc arrêter un serveur partagé et chaque site qui fonctionne dessus.

nginx a immédiatement rendu un correctif disponible via les canaux de mise à jour standard. Le correctif d’Apache existe dans un module autonome, mais n’a toutefois pas encore été intégré à une version que les gestionnaires de paquets de distribution comme apt ou yum récupéreront. Microsoft IIS n’a, pour sa part, pas de correctif.

La vulnérabilité a été découverte avec l’aide d’OpenAI Codex, un agent de codage de l’IA. Cette implication indique une tendance plus large qui va bien au-delà de cet incident unique. Les outils d’IA accélèrent désormais la découverte de failles dans le logiciel exécutant l’infrastructure web moderne.

Voici donc un aperçu de ce vulnérabilité de HTTP/2 et de ce qu’elle représente pour l’industrie de l’hébergement web.

Comment la faille du protocole HTTP/2 fonctionne-t-elle?

HTTP/2 est le protocole derrière la plupart des sites Web modernes depuis environ 2015. Il a été conçu pour rendre le Web plus rapide que le protocole précédent. Pour ce faire, il permet à de nombreuses requêtes de partager une seule connexion et compresse les informations sur ces requêtes afin d’économiser de la bande passante. La bombe HTTP/2 exploite ces caractéristiques exactes conçues pour le rendre efficace.

L’attaque combine deux techniques connues individuellement par les chercheurs en sécurité depuis 2016. Celles-ci n’avaient toutefois pas été reconnues auparavant comme pouvant former une attaque plus grave lorsqu’elles étaient utilisées ensemble.

La première technique utilise la compression d’en-tête HTTP/2. L’attaquant envoie alors de minuscules références de 1 octet à un en-tête pré-initié. Il force ainsi le serveur à allouer un objet d’en-tête complet en mémoire pour chacun. Le ratio mesuré de mémoire serveur consommée par octet réseau envoyé atteint alors 70:1 sur Nginx et 5 700:1 sur Envoy.

La deuxième technique utilise le mécanisme de contrôle de flux HTTP/2 pour geler la connexion. Le serveur ne peut alors pas la terminer ou la fermer. Cela garantit ainsi que la mémoire allouée est conservée jusqu’à ce que le processus soit tué ou que la machine n’ait plus de RAM.

Ces deux techniques combinées peuvent donc avoir un effet négatif exponentiel sur les performances du serveur et le rendre vulnérable.

Quels serveurs sont affectés et que faire dès maintenant?

Quels serveurs sont affectés par la faille de sécurité de HTTP/2, et que faire dès maintenant?

La vulnérabilité affecte tous les serveurs HTTP/2 testés. Le taux d’amplification et le chemin de correction diffèrent toutefois grandement selon la plateforme :

  • nginx : Amplification d’environ 70:1. Corrigé aujourd’hui via le dépôt officiel de package de nginx. Les hébergeurs qui utilisent nginx comme serveur doivent donc appliquer cette mise à jour en priorité. Pour l’hébergement partagé, il s’agit d’un risque multi-locataires. Un seul locataire malveillant peut arrêter tout le monde sur le même serveur.
  • Apache httpd : Amplification d’environ ~4 000:1. Le correctif (CVE-2026-49975) existe dans le module autonome mod_http2 mais n’a toutefois pas été intégré à une version publiée d’Apache httpd. Une mise à niveau standard d’apt apache2 ou yum update httpd ne le livrera pas. L’application du correctif nécessite l’installation manuelle du module mod_http2 mis à jour à partir des versions de modules d’Apache.
  • Microsoft IIS : Amplification d’environ 68:1. Aucun correctif de Microsoft pour le moment. Aucune CVE n’a été attribuée à la variante IIS.
  • Envoy (utilisé surtout dans les environnements Kubernetes) : Amplification mesurée la plus élevée des implémentations testées. Aucun correctif disponible pour le moment.

Une faille antérieure avait déjà été découverte séparément avec des caractéristiques similaires (CVE-2025-53020, corrigée dans Apache 2.4.64 en juillet 2025). Celle-ci montre que le problème sous-jacent, la compression d’en-tête de HTTP/2 comme vecteur de pression mémoire, a été corrigé auparavant. La bombe HTTP/2 est toutefois une nouvelle composition plus efficace de la même surface.

Une faille identifiée par OpenAI Codex

Une faille de sécurité identifiée par OpenAI Codex

Le processus de découverte a des implications qui vont bien au-delà du cycle de correction d’aujourd’hui. Luong a dirigé OpenAI Codex, un agent de codage d’IA, pour lire le code source de nginx, Apache, Envoy et IIS.

Il lui a ensuite demandé de déterminer si deux techniques spécifiques déjà connues de la communauté de sécurité pouvaient être combinées en une seule attaque.

Le Codex a alors confirmé qu’ils pouvaient. Il a ensuite identifié les chemins de code pertinents dans chaque implémentation et a généré un code d’exploitation de preuve de concept que Luong a vérifié.

Le Codex n’a pas dérivé une nouvelle classe de vulnérabilité à partir des principes premiers. Les deux techniques qu’il a combinées ont été documentées pendant environ dix ans.

Ce que le Codex a apporté, c’est la capacité de lire plusieurs grandes bases de code en parallèle. Il a ainsi pu recouper une technique connue contre quatre implémentations distinctes et de produire rapidement un code exploitable. Le chercheur a donc formulé l’hypothèse que l’IA a accéléré la vérification tout en étant utilisée comme arme.

La distinction est importante car elle décrit un flux de travail désormais accessible à un éventail d’acteurs bien plus large qu’il y a cinq ans.

Un chercheur qui soupçonne l’existence d’une classe de vulnérabilité, et qui a accès à un agent de codage IA, peut scanner un grand système logiciel pour détecter des instances de cette vulnérabilité beaucoup plus rapidement qu’un code de lecture humain. Luong doit présenter la méthodologie lors de la conférence sur la sécurité de l’IA dans le monde réel à Stanford.

Trois mois plus tôt, le même groupe de recherche a publié une autre découverte distincte. Il s’agissait alors de CVE-2026-27654, un débordement de tas de haute sévérité dans le module WebDAV de Nginx, classé CVSS 8.2. Cette découverte avait été effectuée à l’aide de Claude d’Anthropic.

Cette petite équipe produit donc des divulgations de vulnérabilités sérieuses en succession rapide. Et ce, car elle utilise l’IA pour auditer systématiquement les logiciels de serveur. Sa plus récente expérience n’est donc pas un cas isolé.

Problème récurrent du protocole HTTP/2

Problème récurrent du protocole HTTP/2

La complexité de HTTP/2 en a fait une source récurrente de vulnérabilités de la couche protocole. Chacune d’entre elles exploitent une fonctionnalité différente plutôt qu’un bogue dans le code d’un seul fournisseur. La bombe HTTP/2 est ainsi la dernière itération d’un problème structurel.

En 2016, la bombe HPACK originale (CVE-2016-6581) a montré que la compression d’en-tête de HTTP/2 pouvait augmenter 16 kilo-octets de données compressées à 64 mégaoctets sur le serveur. C’est donc un ratio de 4 096:1.

En 2023, la réinitialisation rapide HTTP/2 (CVE-2023-44487) a été utilisée dans la nature avant sa divulgation. Cela a produit ce qui était à l’époque la plus grande attaque DDoS jamais enregistrée. Celle-ci a alors atteint un pic de 398 millions de requêtes par seconde contre Cloudflare, en utilisant un botnet d’environ 20 000 machines.

En avril 2024, le HTTP/2 CONTINUATION Flood a démontré qu’une seule machine avec une seule connexion TCP pouvait faire planter un serveur HTTP/2 sans aucune entrée dans les journaux d’accès du serveur. c’est dû au fait que des requêtes incomplètes sans indicateur d’en-tête de terminaison ne produisent pas de ligne de journal. Apache, Golang, Node.js et d’autres ont alors reçu des attributions CVE.

La bombe HTTP/2 suit le même schéma que l’inondation de CONTINUATION. Elle représente un faible besoin en ressources pour l’attaquant, pas de signature distinctive du journal d’accès pendant l’attaque et un large impact sur plusieurs implémentations de serveurs à la fois.

Le fait de ne pas avoir besoin de botnet signifie que les hébergeurs web ne peuvent pas compter sur des seuils volumétriques ou des systèmes de réputation IP pour filtrer ce trafic.

Une adresse IP d’abonné unique envoyant un trafic HTTP/2 bien formé mais malveillant suffit. Elle semble alors identique à une connexion légitime jusqu’à ce que la mémoire du serveur soit épuisée.

Pour conclure sur cette faille de sécurité découverte dans le protocole HTTP/2

Cette importante faille de sécurité découverte dans le protocole HTTP/2 s’inscrit dans une importante tendance. L’avènement de l’intelligence artificielle révèle de nombreuses failles dans les logiciels formant l’infrastructure du web.

Il est important de noter qu’aucune vulnérabilité n’a encore été découverte dans la version plus récente, HTTP/3. Il peut donc être sage de choisir un hébergement web offrant ce type de solution plus modernes. C’est d’autant plus vrai si votre site opère dans le commerce électronique ou contient des données sensibles.

Nous espérons que cet articles vous a plus et vous a éclairé sur cette faille découverte dans le protocole HTTP/2. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs. Plusieurs d’entre eux pourraient vous aider et vous guider dans le choix de votre hébergeur web.