HTTP/2 : Quatre failles détectées selon un rapport d’ Imperva

Imperva

Dans le cadre de la conférence Black Hat USA 2016, Imperva, spécialiste de la protection de données mais aussi des applications critiques présentes dans le cloud, a dévoilé un rapport baptisé Hacker Initiative Intelligence. Dans ce dernier, il note l’existence de 4 vulnérabilités majeures dans HTTP/2.

HTTP/2 a de quoi inquiéter selon Imperva

Constituant l’une des principales composantes d’Internet dans sa version actuelle, le protocole HTTP/2 est loin d’être parfait si on en croit le tout dernier rapport publié par les équipes d’Imperva.

En effet, ce protocole introduit une hausse de la surface d’attaque des infrastructures web critiques et les rendent donc plus vulnérables à des menaces diverses et variées. Seulement voilà, les mécanismes de HTTP/2 qui permettent cela présenteraient de nombreuses vulnérabilités exploitables.

Aussi, bien qu’Imperva soit persuadée que ce nouveau protocole soit bénéfique pour les utilisateurs, elle déplore que de nombreuses menaces pèsent sur Internet et que les entreprises se montrent parfois « légères » pour protéger leurs données critiques et les données confiées par les consommateurs.

85 millions de sites potentiellement menacés

Alors qu’un peu moins de 10% des sites Internet reposeraient aujourd’hui sur le protocole HTTP/2, les chercheurs de la société Imperva ont mis en lumière quatre importantes vulnérabilités dans ce dernier. Ainsi, quatre types d’attaques peuvent être conduites contre le protocole :

  • Des attaques de type « slow read » au cours desquelles c’est un client malveillant qui va se charger de lire le site web très lentement. Elles ressemblent à s’y méprendre aux attaques DDoS
  • Des attaques de type « dependency cycle attack » qui consistent pour un attaquant à multiplier des requêtes pour créer un cycle de dépendances
  • Des attaques de type « HPACK bomb » qui consistent à ce que l’attaquant adresse des messages qui, bout à bout, peuvent mobiliser l’ensemble des ressources mémoire du serveur et donc le rendre indisponible
  • Des attaques de type « Steam Multiplexing Abuse » qui vise à faire planter le serveur en exploitant les failles observables dans l’implémentation serveur et la fonctionnalité de multiplexage des flux.
No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*