HTTP/2 Bomb : une seule machine suffit pour faire tomber un serveur web

Attaque HTTP/2 Bomb sur serveur web : rack de serveurs avec alertes rouges et flux de données réseau saturés

Une nouvelle technique d’attaque par déni de service baptisée HTTP/2 Bomb préoccupe la communauté de la sécurité informatique. Documentée par la société de cybersécurité Calif dans un billet de blog publié le 2 juin 2026, cette méthode permet à une seule machine de saturer la mémoire d’un serveur web en quelques secondes, le rendant inaccessible aux utilisateurs légitimes.

Selon les chiffres publiés par Calif, une connexion domestique de seulement 100 Mbps suffit à saturer 32 Go de mémoire RAM sur un serveur Apache HTTP Server en environ 18 secondes. Sur Envoy, le même résultat est atteint en seulement 10 secondes. Un scan Shodan réalisé par les chercheurs identifie plus de 880 000 sites web potentiellement concernés.

Fait notable : l’exploit a été découvert par Codex, l’agent d’OpenAI, qui a identifié la combinaison de deux techniques connues depuis plus de dix ans mais jamais chaînées ensemble contre ces serveurs.

💥

L’essentiel en 30 secondes

  • HTTP/2 Bomb : une nouvelle technique DDoS documentée par la société de sécurité Calif permet à une seule machine de saturer la mémoire d’un serveur web en quelques secondes.
  • Chiffres documentés : selon le blog de Calif, une connexion domestique de 100 Mbps suffit à saturer 32 Go de RAM sur Apache httpd en environ 18 secondes, et 32 Go sur Envoy en 10 secondes.
  • Serveurs concernés : nginx, Apache HTTP Server, Microsoft IIS, Envoy et Cloudflare Pingora dans leur configuration HTTP/2 par défaut. Plus de 880 000 sites identifiés via Shodan.
  • Découverte par IA : l’exploit a été identifié par Codex, l’agent d’OpenAI, qui a chaîné deux techniques connues depuis plus de dix ans : une bombe de compression HPACK et une prise de contrôle de type Slowloris.
  • Correctifs partiels : nginx (v1.29.8+), Apache (mod_http2 v2.0.41) et Envoy ont été corrigés. Microsoft IIS et Cloudflare Pingora n’avaient pas de correctif public au moment de la publication.
  • CVE attribué : CVE-2026-49975 pour Apache HTTP Server.

Le mécanisme de la vulnérabilité HTTP/2 Bomb

Le HTTP/2 Bomb exploite deux caractéristiques du protocole HTTP/2 qui, combinées, créent un déséquilibre entre la charge envoyée par le client et la mémoire consommée par le serveur :

  • La compression HPACK : HTTP/2 compresse les en-têtes des requêtes pour réduire la latence. Le serveur maintient une table dynamique de compression qui alloue de la mémoire pour chaque connexion active.
  • Le contrôle de flux HTTP/2 : ce mécanisme permet au client de réguler la vitesse à laquelle le serveur lui envoie des données. S’il est manipulé, il peut empêcher le serveur de libérer la mémoire associée à une requête.

Selon Calif, l’attaque fonctionne en envoyant de nombreuses références d’un seul octet qui forcent le serveur à alliger de manière disproportionnée de la mémoire pour la décompression des en-têtes. Le contrôle de flux est ensuite utilisé pour empêcher le serveur de terminer la requête et de libérer cette mémoire. Résultat : la consommation mémoire augmente jusqu’à ce que le serveur ne puisse plus répondre aux requêtes légitimes.

L’ampleur de l’effet varie selon les serveurs. Calif mesure un facteur d’amplification allant d’environ 70:1 pour nginx à près de 5 700:1 pour Envoy, ce qui signifie qu’un octet envoyé par l’attaquant peut entraîner l’allocation de plusieurs kilo-octets sur le serveur.

Serveurs concernés et état des correctifs

Serveur Amplification mesurée État du correctif
nginx ~70:1 Corrigé (v1.29.8+, avril 2026)
Apache HTTP Server ~4 000:1 Corrigé (mod_http2 v2.0.41, mai 2026, CVE-2026-49975)
Envoy ~5 700:1 Correctif publié le 3 juin 2026
Microsoft IIS ~68:1 Pas de correctif public disponible
Cloudflare Pingora ~70:1 Cloudflare conteste la vulnérabilité de son infrastructure

Les données ci-dessus proviennent du billet de blog de Calif (2 juin 2026). Cloudflare a publiquement contesté l’affirmation selon laquelle son infrastructure serait vulnérable, précisant que ses propres mécanismes de protection atténuent le risque pour ses clients.

Une découverte attribuée à un agent IA

Ce qui rend cette vulnérabilité particulièrement notable, c’est la manière dont elle a été identifiée. Selon Quang Luong, chercheur chez Calif, les deux techniques composant l’attaque (bombe de compression HPACK et prise de contrôle de type Slowloris) sont documentées depuis plus de dix ans. Mais aucune équipe humaine ne les avait combinées contre ces serveurs.

L’agent Codex d’OpenAI a lu les codebases des serveurs concernés, identifié que les deux techniques pouvaient se composer, et construit l’attaque combinée. « Cette combinaison est évidente une fois qu’on la voit, et pourtant, pour autant que nous sachions, aucun humain ne l’avait assemblée contre ces serveurs », écrit Luong dans son billet.

Calif a suivi un processus de divulgation responsable : notification à nginx en avril (corrigé le lendemain), à Apache le 27 mai (corrigé le jour même), et à Envoy le 3 juin. Microsoft et Cloudflare ont été notifiés. Considérant que les correctifs publics d’Apache rendent les vecteurs d’attaque facilement reconstructibles par tout modèle d’IA capable, Calif a jugé la vulnérabilité de facto publique et a publié son analyse le 2 juin 2026.

Présentation à venir : Real World AI Security Conference

Les détails techniques complets du HTTP/2 Bomb seront présentés par Quang Luong à la Real World AI Security Conference, qui se tient à Stanford fin juin 2026. Cette conférence réunit des chercheurs en sécurité, des ingénieurs et des représentants des principales entreprises technologiques.

Comment protéger ses serveurs

Calif et plusieurs experts de la sécurité recommandent les mesures suivantes :

  • Mettre à jour les serveurs : nginx (v1.29.8+), Apache (mod_http2 v2.0.41) et Envoy (versions 1.35.11, 1.36.7, 1.37.3, 1.38.1+) incluent des correctifs pour cette vulnérabilité
  • Désactiver HTTP/2 temporairement pour les services critiques si la mise à jour n’est pas possible (directive http2 off pour nginx, Protocols http/1.1 pour Apache)
  • Limiter le nombre d’en-têtes par requête selon la documentation officielle du serveur utilisé
  • Plafonner la mémoire par processus via les limites du système (cgroups, ulimit, limites de conteneurs) afin qu’un processus compromis soit arrêté avant d’affecter l’ensemble du serveur
  • Utiliser un CDN ou un reverse proxy qui impose des limites strictes sur le nombre d’en-têtes et la durée des connexions inactives
  • Monitorer la consommation mémoire des processus serveurs et configurer des alertes en cas de pic anormal
⚠️

Alerte sécurité

Microsoft IIS et Cloudflare Pingora n’avaient pas de correctif public disponible au moment de la publication de Calif (2 juin 2026). Les administrateurs de ces serveurs sont invités à suivre les recommandations de mitigation et à surveiller les mises à jour officielles de leurs éditeurs.

Pour approfondir le contexte des menaces en 2026, consultez également notre analyse sur la faille zero-day exposant les agents IA de Microsoft, ainsi que notre article sur les obligations de la directive NIS2 pour les entreprises françaises.

Questions fréquentes sur le HTTP/2 Bomb

Qu’est-ce que le HTTP/2 Bomb exactement ?

Le HTTP/2 Bomb est une technique d’attaque par déni de service qui exploite la compression HPACK et le contrôle de flux du protocole HTTP/2. Une seule machine suffit pour saturer la mémoire RAM d’un serveur web vulnérable en quelques secondes. La vulnérabilité a été découverte par l’agent Codex d’OpenAI et documentée par la société Calif.

Quels serveurs sont vulnérables au HTTP/2 Bomb ?

Selon les tests de Calif, la vulnérabilité affecte nginx, Apache HTTP Server, Microsoft IIS, Envoy et Cloudflare Pingora dans leur configuration HTTP/2 par défaut. nginx, Apache et Envoy ont publié des correctifs. Un scan Shodan identifie plus de 880 000 sites potentiellement concernés.

Qui a découvert cette vulnérabilité ?

Le chercheur Quang Luong de la société Calif a identifié et documenté le HTTP/2 Bomb. La découverte a été réalisée par Codex, l’agent d’OpenAI, qui a combiné deux techniques connues depuis plus de dix ans. Les résultats seront présentés à la Real World AI Security Conference à Stanford fin juin 2026.

Quelle est la puissance nécessaire pour cette attaque ?

Selon Calif, une connexion domestique de 100 Mbps suffit pour saturer 32 Go de RAM sur un serveur Apache HTTP Server en environ 18 secondes, et 32 Go sur Envoy en 10 secondes. Le facteur d’amplification varie selon les serveurs, allant de 70:1 (nginx) à 5 700:1 (Envoy).

Comment protéger son serveur du HTTP/2 Bomb ?

Il est recommandé de mettre à jour vers les versions corrigées (nginx v1.29.8+, Apache mod_http2 v2.0.41, Envoy versions récentes), de désactiver HTTP/2 temporairement si nécessaire, de limiter le nombre d’en-têtes par requête, de plafonner la mémoire par processus, et de monitorer la consommation mémoire des serveurs web.

Alexi Tauzin
Alexi Tauzin 🤖 Analyste cybersécurité & données

Fondateur d’alexitauzin.com, entrepreneur digital et analyste des technologies émergentes. Il suit de près les enjeux de cybersécurité, de conformité et de protection des données pour aider les professionnels à comprendre les risques numériques et les évolutions du secteur.

En savoir plus ➜

Avez-vous déjà lu ces articles ?

Faille GitHub.dev : un clic suffit pour voler tous vos dépôts privés

IA en entreprise : les 3 failles de sécurité invisibles des assistants internes

Laisser un commentaire

Contactez la rédaction pour toute demande

Partenariat, rédaction et publication d'articles sponsorisés

NOUS CONTACTER

COPYRIGHT ALEXITAUZIN.COM 2026

Mentions légales - Politique de confidentialité - Affiliation