Suivre 
Une vulnérabilité de déni de service récemment divulguée, suivie sous la référence CVE-2026-49975, montre comment les faiblesses bien connues de HTTP/2 peuvent encore être exploitées pour constituer une attaque moderne très efficace. SecurityWeek rapporte que des chercheurs de Calif ont démontré une exploitation de type HTTP/2 Bomb capable de mettre hors service d’importants serveurs web en quelques secondes en combinant une bombe de compression avec une technique de type Slowloris empêchant le serveur de libérer la mémoire.
Selon le rapport, l’attaque peut potentiellement affecter plus de 880 000 sites web qui prennent en charge HTTP/2 et fonctionnent avec les configurations par défaut de NGINX, Apache HTTP(Web) Server, Microsoft IIS, Envoy ou Cloudflare Pingora. Calif a également déclaré que l’attaque peut être lancée depuis un ordinateur domestique avec une connexion de 100 Mbps et rendre tout de même les serveurs affectés indisponibles en quelques secondes.
Analyse de CVE-2026-49975
SecurityWeek explique que l’attaque ne repose pas sur une seule nouvelle faille, mais sur une chaîne de techniques de déni de service connues. La première étape repose sur HPACK Bomb, suivie sous la référence CVE-2016-6581, qui abuse de la compression des en-têtes HTTP/2 pour convertir de très petits messages en structures extrêmement volumineuses consommant beaucoup de mémoire sur le serveur de destination. L’article note que cette technique a été démontrée contre Apache HTTPD l’année dernière avec un taux d’amplification de 4 000x, et Apache a abordé ce problème dans la version 2.4.64 sous la référence CVE-2025-53020.
La deuxième étape abuse de CVE-2016-8740 et CVE-2016-1546, deux problèmes de type Slowloris HTTP/2 liés aux trames de continuation et aux fenêtres de contrôle de flux manipulées. Comme décrit par SecurityWeek, les attaquants peuvent annoncer une fenêtre de contrôle de flux de zéro octet, empêchant le serveur d’envoyer une réponse, puis réinitialiser le délai d’attente d’envoi pour que les allocations de mémoire restent bloquées au lieu d’être libérées.
Ce qui rend cette variante notable, c’est que, selon l’explication de Calif citée par SecurityWeek, l’amplification ne provient pas d’une grande valeur d’en-tête décodée. Au lieu de cela, elle provient de la comptabilité par entrée que le serveur alloue autour d’en-têtes presque vides, ce qui signifie que les limites traditionnelles de la taille décodée peuvent ne pas arrêter l’attaque car il n’y a « presque rien à décoder ». Le rapport indique également que Calif a trouvé un contournement pour les serveurs qui limitent le nombre de champs d’en-têtes et a publié du code de preuve de concept pour démontrer l’attaque.
Atténuation de CVE-2026-49975
SecurityWeek rapporte que NGINX a résolu le bogue en avril, tandis qu’Apache a déployé des correctifs fin mai et a assigné CVE-2026-49975. Au moment du rapport, Microsoft IIS, Envoy et Cloudflare Pingora n’avaient pas encore été corrigés.
D’un point de vue pratique de la défense, la priorité à court terme la plus claire est d’identifier les systèmes exposés à Internet utilisant des configurations HTTP/2 par défaut et de vérifier s’ils utilisent un logiciel corrigé. Comme l’article ne publie pas d’IOCs spécifiques ou de télémétrie de détection approfondie, l’approche la plus réaliste est de se concentrer sur les services HTTP/2 exposés, les pics de mémoire rapide et l’instabilité soudaine du service conforme à l’épuisement de la mémoire. Ce dernier point est une inférence défensive basée sur le comportement de l’attaque décrite dans le rapport de SecurityWeek.
FAQ
Qu’est-ce que CVE-2026-49975 et comment cela fonctionne-t-il ?
CVE-2026-49975 est l’identifiant attribué par Apache à une chaîne d’attaque de déni de service qui combine une bombe de compression basée sur HPACK avec une technique HTTP/2 de type Slowloris. Le résultat est un épuisement rapide de la mémoire qui peut rendre les serveurs vulnérables indisponibles en quelques secondes.
Quand CVE-2026-49975 a-t-il été découvert pour la première fois ?
L’article de SecurityWeek ne fournit pas de date de découverte privée. Il indique que l’exploit a été surnommé HTTP/2 Bomb, a été découvert en utilisant le Codex d’OpenAI, et que NGINX a corrigé le problème en avril tandis qu’Apache a publié des correctifs fin mai.
Quel est l’impact de CVE-2026-49975 sur les systèmes ?
L’impact principal est le déni de service. SecurityWeek dit que l’exploit peut épuiser la mémoire du serveur et mettre hors service d’importants serveurs web en quelques secondes, même lorsqu’il est lancé depuis une connexion internet domestique relativement modeste.
CVE-2026-49975 peut-il encore m’affecter en 2026 ?
Oui. Les systèmes peuvent encore être exposés en 2026 s’ils utilisent des configurations HTTP/2 par défaut vulnérables, en particulier sur les produits qui n’avaient pas encore été corrigés au moment du rapport, y compris Microsoft IIS, Envoy et Cloudflare Pingora.
Comment puis-je me protéger contre CVE-2026-49975 ?
Appliquez les correctifs fournis par les fournisseurs, examinez si votre pile web utilise les paramètres par défaut HTTP/2 et donnez la priorité aux serveurs exposés à Internet pour la vérification. Basé sur le comportement de l’attaque décrit dans SecurityWeek, surveiller la consommation anormale de mémoire et la dégradation brusque du service est également une étape défensive intérimaire judicieuse.
