L'exploit HTTP/2 Bomb fait planter NGINX, Apache et IIS en quelques secondes — Le PoC déjà sur GitHub

Une vulnérabilité récemment divulguée dans les implémentations de serveur HTTP/2 — surnommée « HTTP/2 Bomb » et suivie sous CVE-2026-49975 — permet à un attaquant de faire planter NGINX, Apache HTTP Server, Microsoft IIS, Envoy et Cloudflare Pingora en quelques secondes, en utilisant un seul système avec une connexion internet standard de 100 Mbit/s. La société de sécurité Calif, qui a découvert la faille en utilisant OpenAI Codex, a publié les détails le 2 juin 2026. Des scripts Python publics de proof-of-concept sont apparus sur GitHub le même jour.

La vulnérabilité est significative car HTTP/2 est le protocole par défaut pour les serveurs web modernes — pas une fonctionnalité optionnelle que les administrateurs désactivent généralement. Tout serveur acceptant des connexions HTTPS sur HTTP/2 avec une configuration par défaut est potentiellement exposé.

Comment fonctionne l'attaque

La HTTP/2 Bomb enchaîne deux techniques qui existent individuellement dans la littérature de recherche mais qui n'avaient pas été combinées auparavant en un exploit armé. La première est une variante d'une bombe de compression HPACK — une méthode d'envoi d'en-têtes qui se décompressent en tailles massives, consommant une mémoire disproportionnée sur le serveur récepteur. La seconde est une retenue de style Slowloris : ralentir délibérément la connexion afin que la mémoire décompressée du serveur ne puisse pas être libérée.

Ensemble, ces deux techniques exploitent un comportement spécifique dans la manière dont les implémentations de serveur HTTP/2 allouent et libèrent la mémoire lors du traitement des en-têtes. En envoyant des en-têtes compressés modifiés puis en maintenant la connexion ouverte sans terminer la requête, un attaquant provoque un épuisement rapide et progressif de la mémoire sur le serveur. Contrairement aux attaques DDoS volumétriques qui nécessitent une bande passante massive, cet exploit fonctionne avec un débit minimal — les chercheurs de Calif ont démontré des plantages en utilisant seulement 100 Mbit/s depuis une seule machine.

Ce qui est patché, ce qui ne l'est pas

Au 6 juin, deux grands projets de serveurs ont publié des correctifs. NGINX a corrigé la vulnérabilité dans la version 1.29.8. Apache HTTP Server l'a patchée dans mod_http2 version 2.0.41, où le CVE est officiellement attribué sous CVE-2026-49975. HAProxy est signalé comme étant intrinsèquement résistant à cet exploit, ou peut être configuré pour le bloquer.

Microsoft IIS, Envoy et Cloudflare Pingora n'avaient pas publié de correctifs confirmés au 2 juin, date de la divulgation initiale. Envoy suit un problème connexe sous CVE-2026-47774. Les administrateurs gérant ces serveurs doivent surveiller attentivement les avis des fournisseurs.

Options d'atténuation

Pour les organisations qui ne peuvent pas mettre à jour immédiatement NGINX ou Apache, Calif recommande trois options provisoires. Premièrement, isoler les serveurs exposés derrière un proxy inverse, un pare-feu d'application web (WAF) ou un équilibreur de charge de couche 7 avec protection HTTP/2 activée — HAProxy, correctement configuré, peut absorber l'attaque. Deuxièmement, désactiver HTTP/2 au niveau du serveur ; cela nuit aux performances mais élimine la surface d'attaque. Troisièmement, appliquer une limitation de débit (rate limiting) sur le traitement des en-têtes au niveau de la couche d'entrée.

Désactiver HTTP/2 sur l'ensemble du serveur a un coût réel en termes de performances — le protocole existe parce que HTTP/1.1 est nettement plus lent pour la plupart du trafic web — il doit donc être considéré comme une mesure temporaire, non comme une atténuation permanente.

L'angle OpenAI Codex

La divulgation de Calif indique que CVE-2026-49975 a été découvert en utilisant OpenAI Codex comme outil d'analyse lors d'une revue dirigée des implémentations de serveur HTTP/2. Cette découverte s'ajoute à un schéma croissant de recherche de vulnérabilités assistée par l'IA : le même modèle Claude Opus 4.8 a trouvé le bug de double dépense de Zcash Halo2 divulgué la semaine dernière, et plusieurs CVE récents dans des projets open source largement déployés ont crédité des outils de revue de code IA dans leur découverte.

Ce n'est pas une observation passive — c'est une dynamique de course aux armements. Les mêmes outils disponibles pour les chercheurs défensifs sont disponibles pour les acteurs offensifs. Les organisations exploitant des serveurs HTTP/2 doivent considérer la disponibilité publique du code PoC comme une escalade significative du risque d'exposition et prioriser le patching en conséquence.