27 octobre 2023

Réinitialisation rapide HTTP/2 : une nouvelle vulnérabilité dans le protocole et son impact sur les services cloud

Explorons la vulnérabilité de réinitialisation rapide HTTP/2 : son fonctionnement, ses implications et les mesures de sécurité dont vous avez besoin pour votre infrastructure Web

Introduction

Récemment, des géants de la technologie tels que Google, Amazon, Microsoft et Cloudflare ont révélé avoir été confrontés à des attaques DDoS massives contre leur infrastructure cloud. Les attaques étaient aussi uniques que dangereuses, exploitant une vulnérabilité dans un protocole Web clé : HTTP/2. Cet article vise à expliquer la gravité de la situation et ce qu'elle signifie pour les entreprises et les particuliers utilisant les services Web.

Qu'est-ce que la réinitialisation rapide HTTP/2 ?

La vulnérabilité connue sous le nom de « HTTP/2 Rapid Reset » a été signalée avec l'identifiant CVE-2023-44487 et exploite une faiblesse du protocole HTTP/2. Il ne permet pas de prendre le contrôle à distance d'un serveur ou d'exfiltrer des données, mais il permet aux attaquants de mener des attaques par déni de service (DoS). Selon Emil Kiner et Tim April de Google Cloud, une telle perte de disponibilité peut avoir un « impact à grande échelle sur les organisations victimes, notamment une perte d'activité et l'indisponibilité des applications critiques ».

Comment fonctionne l’attaque ?

L'attaque exploite la fonctionnalité d'annulation de flux de HTTP/2 pour envoyer et annuler en continu des requêtes, surchargeant le serveur ou l'application cible et imposant un état DoS. Des acteurs malveillants utilisent cette technique depuis août pour envoyer un barrage de requêtes et de réinitialisations HTTP/2 (trames RST_Stream) à un serveur, demandant au serveur de les traiter et d'effectuer des réinitialisations rapides, dépassant ainsi sa capacité à répondre aux nouvelles requêtes entrantes.

Diagramme-HTTP2-Réinitialisation-Attaque

Garanties inefficaces

HTTP/2 inclut une mesure de sécurité sous la forme d'un paramètre qui limite le nombre de flux actifs simultanément pour empêcher les attaques DoS. Cependant, cette mesure n'est pas toujours efficace. Les développeurs du protocole ont introduit une mesure plus efficace appelée annulation de demande, qui n'interrompt pas l'intégralité de la connexion, mais peut être utilisée de manière abusive.

Détails techniques

Comme l'explique Google dans son article sur le sujet, « le protocole n'exige pas que le client et le serveur coordonnent la suppression de quelque manière que ce soit ; le client peut le faire unilatéralement. Cela signifie que le client peut supposer que la suppression prendra effet immédiatement lorsque le serveur recevra la trame RST_STREAM, avant que toute autre donnée ne soit traitée par cette connexion TCP.

D’où vient la vulnérabilité ?

La vulnérabilité est inhérente à la spécification du protocole HTTP/2, développé par l'Internet Engineering Task Force (IETF). Ce protocole a été largement adopté et constitue le successeur le plus rapide et le plus efficace du protocole HTTP classique. La vulnérabilité est donc pertinente pour « tout serveur web moderne », comme le soulignent Lucas Pardue et Julien Desgats de Cloudflare.

Pourquoi est-ce si difficile à réparer ?

Contrairement à un bug dans un logiciel spécifique, qui peut être corrigé par une seule entité, une vulnérabilité dans un protocole nécessite une approche beaucoup plus répandue pour l'atténuer. Chaque site Web implémente la spécification à sa manière et chaque organisation ou individu doit donc travailler sur ses propres protections.

L'Open Source comme avantage

Dan Lorenc, expert en logiciels open source, suggère que la disponibilité du code open source constitue un avantage dans des situations comme celle-ci. De nombreux serveurs Web ont probablement copié leur implémentation HTTP/2 à partir d'une autre source, facilitant ainsi le déploiement de correctifs de sécurité.

Que doivent faire les entreprises ?

Pour les entreprises axées sur les performances Web, comme nous, il est crucial de rester informé de ces menaces émergentes et de mettre en œuvre les correctifs de sécurité nécessaires dès que possible. Il est crucial de consulter les ressources officielles pour connaître les derniers correctifs et de les appliquer à vos serveurs Web. Cependant, l’adoption complète de ces correctifs prendra des années, et certains services qui ont implémenté HTTP/2 à partir de zéro pourraient rester vulnérables à long terme.

conclusion

Même si les récentes attaques DDoS ont été repoussées avec succès, elles ont révélé l’existence d’une vulnérabilité de protocole qui doit désormais être corrigée à l’échelle mondiale. C'est un puissant rappel de l'importance de maintenir une approche proactive en matière de cybersécurité et de protection de vos actifs numériques.

Pour plus d'informations sur la façon de protéger votre infrastructure, veuillez nous contacter ou consulter nos autres ressources de blog, où nous discutons de sujets tels que l'ingénierie des systèmes Linux, MySQL, les bases de données, le cloud AWS et l'optimisation des performances.

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

Managed Server Srl est un acteur italien leader dans la fourniture de solutions système GNU/Linux avancées orientées vers la haute performance. Avec un modèle d'abonnement peu coûteux et prévisible, nous garantissons que nos clients ont accès à des technologies avancées en matière d'hébergement, de serveurs dédiés et de services cloud. En plus de cela, nous proposons des conseils système sur les systèmes Linux et une maintenance spécialisée en SGBD, sécurité informatique, Cloud et bien plus encore. Nous nous distinguons par notre expertise dans l'hébergement de CMS Open Source de premier plan tels que WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart et Magento, soutenus par un service d'assistance et de conseil de haut niveau adapté aux administrations publiques, aux PME et à toutes tailles.

Red Hat, Inc. détient les droits de Red Hat®, RHEL®, RedHat Linux® et CentOS® ; AlmaLinux™ est une marque commerciale d'AlmaLinux OS Foundation ; Rocky Linux® est une marque déposée de la Rocky Linux Foundation ; SUSE® est une marque déposée de SUSE LLC ; Canonical Ltd. détient les droits sur Ubuntu® ; Software in the Public Interest, Inc. détient les droits sur Debian® ; Linus Torvalds détient les droits sur Linux® ; FreeBSD® est une marque déposée de The FreeBSD Foundation ; NetBSD® est une marque déposée de la Fondation NetBSD ; OpenBSD® est une marque déposée de Theo de Raadt. Oracle Corporation détient les droits sur Oracle®, MySQL® et MyRocks® ; Percona® est une marque déposée de Percona LLC ; MariaDB® est une marque déposée de MariaDB Corporation Ab ; REDIS® est une marque déposée de Redis Labs Ltd. F5 Networks, Inc. détient les droits sur NGINX® et NGINX Plus® ; Varnish® est une marque déposée de Varnish Software AB. Adobe Inc. détient les droits sur Magento® ; PrestaShop® est une marque déposée de PrestaShop SA ; OpenCart® est une marque déposée d'OpenCart Limited. Automattic Inc. détient les droits sur WordPress®, WooCommerce® et JetPack® ; Open Source Matters, Inc. détient les droits sur Joomla® ; Dries Buytaert détient les droits sur Drupal®. Amazon Web Services, Inc. détient les droits sur AWS® ; Google LLC détient les droits sur Google Cloud™ et Chrome™ ; Microsoft Corporation détient les droits sur Microsoft®, Azure® et Internet Explorer® ; La Fondation Mozilla détient les droits sur Firefox®. Apache® est une marque déposée de The Apache Software Foundation ; PHP® est une marque déposée du groupe PHP. CloudFlare® est une marque déposée de Cloudflare, Inc. ; NETSCOUT® est une marque déposée de NETSCOUT Systems Inc. ; ElasticSearch®, LogStash® et Kibana® sont des marques déposées d'Elastic NV. Hetzner Online GmbH détient les droits sur Hetzner® ; OVHcloud est une marque déposée d'OVH Groupe SAS ; cPanel®, LLC détient les droits sur cPanel® ; Plesk® est une marque déposée de Plesk International GmbH ; Facebook, Inc. détient les droits sur Facebook®. Ce site n'est affilié, sponsorisé ou autrement associé à aucune des entités mentionnées ci-dessus et ne représente en aucune manière aucune de ces entités. Tous les droits sur les marques et noms de produits mentionnés sont la propriété de leurs titulaires respectifs des droits d'auteur. Toutes les autres marques mentionnées appartiennent à leurs titulaires. MANAGED SERVER® est une marque déposée au niveau européen par MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italie.

Retour en haut de page