Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

Breaking news :
Vulnérabilité critique du noyau Ubuntu permettant l’escalade de privilèges et l’accès root
Faille de sécurité critique dans Jira Software permettant la manipulation du système de fichiers
Des hackers chinois lancent des attaques massives contre SharePoint après la publication du correctif de juillet

Nouvelle vulnérabilité HTTP/2 « MadeYouReset » : des attaques DoS massives rendues possibles

Août 14, 2025 — Des chercheurs des laboratoires Deepness ont mis en évidence une nouvelle technique d’attaque baptisée MadeYouReset. Cette faille dans la mise en œuvre du protocole HTTP/2 permet de déclencher des attaques par refus de service (DoS) à grande échelle, contournant les mesures actuelles de protection. The Hacker News

1. Présentation de la vulnérabilité

  • Contourner les limites de flux : MadeYouReset permet d’outrepasser la limite standard de 100 requêtes HTTP/2 par connexion TCP — une mesure destinée à prévenir les DoS The Hacker News.

  • Effet dramatique : un attaquant peut générer des milliers de requêtes, provoquant un surchage des serveurs pouvant conduire à des erreurs ou même à des plantages mémoire The Hacker News.

  • Cadre légal clos : cette vulnérabilité est identifiée comme CVE-2025-8671, avec des déclinaisons dans divers produits, notamment :

    • Apache Tomcat — CVE-2025-48989

    • F5 BIG-IP — CVE-2025-54500

    • Netty — CVE-2025-55163 The Hacker News.

2. Principe technique de l’attaque

Un mélange de Rapid Reset et de ruse protocoliaire

MadeYouReset s’appuie sur les mêmes concepts que l’attaque Rapid Reset (CVE-2023-44487), mais évite les mesures de mitigation déjà en place. Il exploite une particularité du protocole HTTP/2 : les cadres RST_STREAM sont utilisés non seulement pour initier une annulation de flux, mais aussi pour signaler des erreurs de stream. The Hacker News

Étapes de l’attaque

  1. Le client envoie une requête valide, que le serveur commence à traiter.

  2. Il interrompt le protocole en envoyant un cadre invalide, déclenchant une erreur.

  3. Le serveur répond par un RST_STREAM, tout en continuant le traitement de la réponse en arrière-plan — d’où l’épuisement des ressources The Hacker News.

Cadres HTTP/2 déclencheurs

Six types de cadres malformés peuvent générer ce comportement :

  • WINDOW_UPDATE avec un incrément de 0

  • PRIORITY de longueur incorrecte

  • PRIORITY formant une dépendance circulaire

  • WINDOW_UPDATE dépassant la taille maximale autorisée (2³¹ − 1)

  • HEADERS envoyés après END_STREAM

  • DATA envoyés après END_STREAM The Hacker News

3. Impacts et vulnérabilités systémiques

  • Bypass des protections existantes : MadeYouReset rend caduques les mécanismes de limitation de Rapid Reset, autorisant une attaque encore plus efficace.

  • Ressource épuisées par le serveur : même les flux annulés génèrent une charge de travail coûteuse The Hacker News.

  • Problème de conformité protocolaire : selon le CERT/CC, cette vulnérabilité exploite un décalage entre la spécification HTTP/2 et les implémentations réelles The Hacker News.

4. Contexte évolutif des menaces HTTP

Cette attaque s’ajoute à une série d’exploitations du protocole HTTP/2 :

  • Rapid Reset (CVE-2023-44487) : envahissement par annulations massives de flux community.fortinet.comCISA.

  • HTTP/2 CONTINUATION Flood : autre forme de surcharge via les cadres de continuation.

Ces attaques montrent que HTTP/2 peut devenir une arme offensive via sa capacité de multiplexage, si les gardes-fous ne sont pas renforcés.

5. Recommandations pour les équipes de sécurité

Mesure Description
Appliquer les correctifs immédiatement Mettez à jour Apache Tomcat, F5 BIG-IP, Netty et autres composants HTTP/2 affectés.
Limiter strictement HTTP/2 en frontière Utiliser des WAF/CDN pour filtrer et contrôler les cadres malformés.
Surveillance comportementale Détecter les anomalies de trafic HTTP/2 (nombre de flux, RST_STREAM anormaux, etc.).
Tokens GOAWAY forcés Refuser immédiatement les connexions suspectes après détection de comportements défavorables.
Désactiver HTTP/2 en dernier recours Si aucune autre protection n’est disponible, basculer temporairement vers HTTP/1.1 ou HTTP/3 peut être nécessaire.

6. Conclusion

MadeYouReset marque une nouvelle étape dans l’abus des protocoles modernes. Ses capacités à contourner les protections actuelles et à exploiter la logique interne des serveurs HTTP/2 soulignent la fragilité des architectures web face à des abus protocolaires subtils.

Les dirigeants IT et les équipes sécurité doivent agir rapidement : corriger, surveiller et, si besoin, adapter leur usage d’HTTP/2 en production. La résistance aux attaques DoS avancées passe désormais par une compréhension fine et active des protocoles et de leurs failles.

cybersecurite.com
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.