Une équipe de chercheurs en cybersécurité californiens vient de documenter une technique inédite d’attaque par déni de service (DDoS), baptisée « HTTP/2 Bomb ». Selon Futura Sciences, cette méthode permet à un seul ordinateur équipé d’une connexion de 100 Mbps de saturer la mémoire vive d’un serveur en quelques secondes seulement, le rendant inaccessible en moins d’une minute.

Ce qu'il faut retenir

  • Une attaque DDoS classique repose sur un botnet de milliers de machines, mais la technique « HTTP/2 Bomb » n’en nécessite qu’une seule.
  • En exploitant les failles du protocole HTTP/2, elle peut épuiser 32 Go de mémoire vive en 10 à 45 secondes selon le serveur visé (Envoy, Apache, nginx, IIS).
  • Cette attaque contourne les défenses existantes et affecte les serveurs configurés avec HTTP/2, soit la majorité des plateformes modernes.
  • Des correctifs ont déjà été publiés pour certaines configurations, mais des milliers de serveurs restent vulnérables en attendant leur mise à jour.

Une attaque DDoS repensée pour contourner les protections existantes

Les attaques par déni de service (DDoS) ne sont pas nouvelles : elles consistent à submerger un serveur de requêtes pour le rendre inopérant. Traditionnellement, ces attaques nécessitent un réseau de machines infectées (botnet) pour générer un volume suffisant de trafic. Cependant, la technique « HTTP/2 Bomb », développée par la société Calif, change la donne. « Il suffit d’un seul ordinateur pour mettre hors service des serveurs web en quelques secondes », explique l’équipe de chercheurs, qui présentera ses travaux lors de la conférence Real World AI Security à l’Université de Stanford du 23 au 25 juin 2026.

Cette innovation s’appuie sur les spécificités du protocole HTTP/2, utilisé par la quasi-totalité des serveurs modernes pour accélérer les échanges entre navigateurs et sites web. Grâce à la compression des en-têtes et à la gestion simultanée de plusieurs requêtes, HTTP/2 optimise les performances. Mais cette efficacité se retourne contre les serveurs en cas d’attaque. « En envoyant une information redondante des milliers de fois, l’attaquant force le serveur à recréer cette information en mémoire à chaque octet », précise l’étude.

Le protocole HTTP/2, une faille exploitable à double tranchant

Le protocole HTTP/2 a été conçu pour être plus rapide que son prédécesseur, HTTP/1.1. Il utilise notamment la compression HPACK pour réduire la bande passante et permet l’envoi de plusieurs requêtes simultanées sur une seule connexion. Ces optimisations, bien que bénéfiques pour les utilisateurs, créent une vulnérabilité critique. « Un attaquant peut saturer la mémoire vive du serveur en quelques secondes », confirme l’équipe de Calif. Une fois la mémoire épuisée, une seconde phase entre en jeu : l’outil de contrôle des flux est manipulé pour empêcher la libération de cette mémoire, condamnant le serveur à un crash définitif.

Les tests menés par les chercheurs sont édifiants. Un serveur Envoy est tombé en une dizaine de secondes, tandis qu’un serveur Apache a épuisé ses 32 Go de mémoire vive en 18 secondes. Pour nginx et Microsoft IIS, le délai s’élève à 45 secondes. « Dans tous les cas, le serveur est hors service en moins d’une minute », souligne l’étude. Une telle rapidité rend cette attaque particulièrement redoutable, d’autant que la détection est complexe : elle ne génère pas de trafic anormal, mais exploite une faille structurelle du protocole.

Des correctifs existent, mais des milliers de serveurs restent exposés

Face à cette menace, des correctifs ont déjà été publiés pour certaines plateformes. Les serveurs configurés derrière un CDN (Content Delivery Network) ou un proxy inverse sont moins vulnérables, car ces systèmes filtrent le trafic avant qu’il n’atteigne la cible. Cependant, « de très nombreux serveurs, surtout ceux non mis à jour, restent des cibles potentielles », avertit l’équipe de Calif. Les experts recommandent deux mesures immédiates : désactiver HTTP/2 lorsque cela est possible, et mettre en place un proxy ou un pare-feu limitant strictement le nombre d’en-têtes par requête.

« Cette attaque rappelle que les protocoles optimisés pour la performance peuvent, à l’inverse, devenir des portes d’entrée pour les cybercriminels », explique un porte-parole de Calif. Les entreprises et administrations sont donc invitées à vérifier la configuration de leurs serveurs et à appliquer les correctifs disponibles sans tarder. « Les mises à jour régulières des systèmes et des protocoles restent la première ligne de défense », rappellent les chercheurs.

Et maintenant ?

La publication des détails techniques lors de la conférence de Stanford devrait accélérer le déploiement des correctifs par les éditeurs de logiciels. D’ici là, les équipes de cybersécurité sont invitées à surveiller les tentatives d’exploitation de cette faille, notamment via des outils de détection des anomalies de mémoire. Les autorités compétentes, comme l’ANSSI en France, pourraient également publier des recommandations spécifiques dans les prochaines semaines. Reste à voir si cette nouvelle technique inspirera d’autres attaques similaires dans un futur proche.

Une menace qui s’inscrit dans l’évolution des cyberattaques

Cette découverte intervient dans un contexte où les attaques par DDoS gagnent en sophistication. Selon Futura Sciences, les cybercriminels exploitent de plus en plus l’intelligence artificielle pour automatiser leurs attaques. En 2025, des chercheurs avaient révélé la première campagne de cyberespionnage menée presque entièrement par une IA, démontrant les capacités offensives des modèles avancés. « L’IA devient un outil clé pour les attaquants, mais aussi pour les défenseurs », rappelle l’étude. En effet, l’IA Codex d’OpenAI a été utilisée par Calif pour détecter et analyser cette nouvelle attaque.

Les objets connectés, souvent mal sécurisés, restent une cible privilégiée pour les botnets classiques. Mais la technique « HTTP/2 Bomb » montre qu’une attaque ciblée, même limitée en ressources, peut avoir des conséquences dévastatrices. « Les petites et moyennes entreprises, souvent moins protégées, sont particulièrement exposées », souligne un expert en cybersécurité non lié à l’étude. Les hébergeurs web et les fournisseurs de cloud sont donc appelés à renforcer leurs protocoles par défaut pour limiter les risques.

Non, cette attaque vise principalement les serveurs web et les services en ligne. Les particuliers ne sont pas directement exposés, sauf si leur propre site ou service est hébergé sur un serveur vulnérable. Les attaques DDoS ciblent avant tout des infrastructures critiques ou des plateformes accessibles via Internet.

Vérifiez la version de votre serveur web (Apache, nginx, IIS, etc.) et son protocole HTTP/2. Si vous utilisez HTTP/2 sans correctif récent, votre serveur est potentiellement vulnérable. Consultez les notes de mise à jour de votre éditeur de logiciel pour appliquer les correctifs disponibles. Les serveurs protégés par un CDN ou un proxy inverse sont moins exposés.