Les attaques par déni de service, ou DDoS, font partie des méthodes les plus connues de la cybersécurité offensive. Leur principe est simple : envoyer tellement de requêtes vers un site ou un service en ligne que ses serveurs finissent par saturer. Résultat, la page ne répond plus, l’application tombe, et les utilisateurs légitimes ne peuvent plus accéder au service.

Traditionnellement, ce type d’attaque nécessite un botnet, c’est-à-dire un vaste réseau de machines compromises : ordinateurs, routeurs, caméras connectées ou objets mal protégés. Mais des chercheurs de la société californienne Calif viennent de documenter une méthode beaucoup plus inquiétante : une attaque DDoS capable de fonctionner depuis un seul ordinateur. Cette technique, baptisée « HTTP/2 Bomb », doit être présentée lors de la conférence Real World AI Security, organisée à Stanford du 23 au 25 juin. Les chercheurs expliquent avoir utilisé Codex, l’IA d’OpenAI, pour les aider à détecter cette faille.

Le cœur du problème vient de HTTP/2, une version moderne du protocole qui permet à un navigateur et à un serveur web de communiquer. HTTP/2 a été conçu pour accélérer les sites, notamment grâce à la compression des en-têtes et à l’envoi de plusieurs requêtes sur une même connexion. Mais ces optimisations peuvent être détournées. L’attaque exploite notamment HPACK, le système chargé de compresser certaines informations échangées entre le client et le serveur. En manipulant ce mécanisme, un attaquant peut forcer le serveur à reconstruire en mémoire de très grandes quantités de données pour un trafic en apparence limité. La seconde étape consiste à empêcher cette mémoire d’être libérée rapidement, en jouant sur les mécanismes de contrôle du flux.

Selon Calif, un simple ordinateur connecté à 100 Mbps peut ainsi épuiser des dizaines de gigaoctets de mémoire vive en quelques secondes. Lors des tests, un serveur Envoy est tombé en une dizaine de secondes, Apache a saturé 32 Go de mémoire en 18 secondes, tandis que nginx et Microsoft IIS ont cédé en moins d’une minute. La menace est sérieuse, mais pas universelle. Tous les serveurs ne sont pas vulnérables, et certains correctifs existent déjà. En attendant, les experts recommandent de limiter strictement les en-têtes, de passer par des CDN ou proxys inverses, et de désactiver HTTP/2 lorsque c’est possible.

Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.