Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HTTP/2 : Le rapport Hacker Intelligence Initiative d’Imperva révèle quatre failles majeures dans la dernière version du protocole sous-jacent d’Internet

août 2016 par Imperva

Imperva, Inc. vient de publier son nouveau rapport Hacker Intelligence Initiative (HII), intitulé
« HTTP/2 : In-adepte analysis of the top four flaws of the next generation web
protocol », dans le cadre de la conférence Black Hat USA 2016. Les chercheurs du
centre de défense d’Imperva y recensent quatre vulnérabilités majeures détectées
dans HTTP/2, la nouvelle version du protocole HTTP, l’une des principales
composantes d’Internet.

HTTP/2 introduit de nouveaux mécanismes qui augmentent effectivement la surface
d’attaque des infrastructures Web critiques ; celles-ci deviennent alors vulnérables
à de nouveaux types d’attaques. Les chercheurs du centre de défense d’Imperva ont
étudié de manière approfondie les implémentations serveur du protocole HTTP/2 des
éditeurs Apache, Microsoft, NGINX, Jetty et nghttp2. L’équipe a découvert des
vulnérabilités exploitables dans l’ensemble des principaux mécanismes de HTTP/2
qu’elle a examinés, dont deux similaires à des vulnérabilités bien connues et
largement exploitées dans HTTP/1.x. Il est probable que d’autres implémentations du
protocole HTTP/2 soient également touchées par ces vulnérabilités.

« Les améliorations générales apportées aux performances Web et les
perfectionnements spécifiques aux applications mobiles introduits dans le protocole
HTTP/2 représentent une aubaine potentielle pour les utilisateurs d’Internet »,
explique Amichai Shulman, co-fondateur et directeur technique d’Imperva. « 
Toutefois, lorsqu’une grande quantité de nouveaux codes est très rapidement lâchée
dans la nature, cela fournit aux attaquants une excellente opportunité. Bien qu’il
soit inquiétant de retrouver dans HTTP/2 des menaces connues de HTTP 1.x, ce n’est
guère surprenant. Comme pour toute nouvelle technologie, il est important que les
entreprises exercent des contrôles préalables et mettent en œuvre des mesures de
sauvegarde afin de se prémunir de l’étendue de la surface d’attaque et de protéger
les données critiques et les données relatives aux consommateurs contre des
cybermenaces en perpétuelle évolution. »

Ces menaces sont particulièrement préoccupantes, étant donné l’adoption rapide du
protocole HTTP/2. Selon W3Techs, 8,7 % de tous les sites Web, soit environ 85
millions de sites, utilisent HTTP/2, un chiffre qui a presque quadruplé par rapport
aux 2,3 % seulement enregistrés en décembre 2015.

Les quatre vecteurs d’attaques majeurs découverts par les chercheurs d’Imperva sont
les suivants1 :

 Slow Read - L’attaque fait appel à un client malveillant pour lire les réponses
très lentement ; elle est identique à la célèbre attaque par déni de service
distribué (DDoS) Slowloris qui toucha les principales sociétés de traitement des
cartes de crédit en 2010. Il est intéressant de souligner que, bien que les attaques
Slow Read aient été amplement étudiées dans l’écosystème HTTP/1.x, elles se révèlent
toujours efficaces, cette fois-ci dans la couche applicative des implémentations de
HTTP/2. Le centre de défense d’Imperva a identifié des variantes de cette
vulnérabilité sur les serveurs Web les plus populaires, notamment Apache, IIS,
Jetty, NGINX, ou encore nghttp2.
 HPACK Bomb - Cette attaque de la couche de compression s’apparente à une bombe de
décompression. L’attaquant élabore de petits messages apparemment innocents, qui
représentent finalement plusieurs gigaoctets de données sur le serveur. Cela
mobilise l’intégralité des ressources mémoire du serveur, le rendant indisponible.
 Dependency Cycle Attack - L’attaque tire parti des mécanismes de contrôle des flux
introduits dans HTTP/2 pour l’optimisation du réseau. Le client malveillant forge
des requêtes qui induisent un cycle de dépendances ; le serveur, en tentant de
traiter ces dernières, est alors entraîné de force dans une boucle infinie.
 Stream Multiplexing Abuse - L’attaquant utilise les failles existant dans
l’implémentation par les serveurs de la fonctionnalité de multiplexage des flux,
dans le but de faire planter le serveur. Cela finit par générer un déni de service à
l’égard des utilisateurs légitimes.

Bien que les nouvelles technologies soient une source de progrès, elles sont
également porteuses de nouveaux risques. Lors de l’adoption d’une technologie telle
que le protocole HTTP/2, les sociétés doivent impérativement demeurer vigilantes
quant à la possibilité de nouvelles zones d’exposition et d’attaque.

L’implémentation d’un pare-feu d’applications Web (WAF) doté de capacités
d’application de correctifs virtuels peut aider les entreprises à protéger leurs
données et leurs applications critiques contre les cyberattaques.

1) Conformément aux pratiques en vigueur dans le secteur, le centre de défense
d’Imperva a collaboré avec les éditeurs identifiés afin de garantir que les
vulnérabilités soient corrigées avant la publicatio


Voir les articles précédents

    

Voir les articles suivants