« MadeYouReset » : la vulnérabilité dans HTTP/2 qui déclenche le risque de DDoS massifs dans le réseau mondial – Revue Cloud

L'Internet Archive subit une attaque et expose les données de 31 millions d'utilisateurs
Share on Pinterest Share on LinkedIn

Une nouvelle menace pèse sur l’infrastructure Internet mondiale, suscitant une vive inquiétude parmi les entreprises technologiques, les organismes publics et les fournisseurs de services cloud. Il s’agit de « MadeYouReset » (CVE-2025-25063), une vulnérabilité critique détectée dans le protocole HTTP/2 par des chercheurs de Google et Cloudflare. Cette faille est déjà exploitée dans des attaques DDoS à grande échelle.

La découverte de MadeYouReset rappelle que même les protocoles les plus populaires et apparemment robustes peuvent devenir des points faibles si l’innovation s’accompagne d’un manque de mesures de sécurité renforcées.

HTTP/2, largement adopté ces dernières années, a été conçu pour améliorer l’efficacité sur le web moderne : multiplexage des requêtes, chargement accéléré des pages et optimisation de l’utilisation de la bande passante. Cependant, cette sophistication ouvre également la porte à de nouveaux types d’attaques, notamment celles exploitant la fonction de « réinitialisation des flux » (« stream resets »), mécanisme permettant d’annuler des requêtes en cours.

Les attaquants ont découvert comment envoyer en masse des trames malformées, contraignant le serveur à redémarrer continuellement les processus de connexion. Ces attaques provoquent une surconsommation de CPU et de mémoire, pouvant entraîner l’effondrement de services en quelques secondes. Mieux encore, même avec une bande passante limitée, ces méthodes amplifient leur impact de milliers de fois, créant ainsi un rapport coût-efficacité sans précédent.

Ce nouveau cas évoque la vulnérabilité « Rapid Reset » (CVE-2023-44487) découverte deux ans auparavant. Toutes deux ciblent le même point faible : l’abus du mécanisme de réinitialisation dans les flux HTTP/2. Si des mesures ont été prises pour atténuer Rapid Reset, de nombreuses implémentations restent vulnérables, notamment celles qui ne sont pas à jour ou utilisent des bibliothèques obsolètes.

L’impact de MadeYouReset ne se limite pas au simple web : HTTP/2 est également utilisé dans les services cloud (AWS, Google Cloud, Azure), dans des applications d’entreprise intégrant des API basées sur ce protocole, ainsi que dans des plateformes critiques telles que le commerce électronique, la banque en ligne ou les services gouvernementaux. La Cybersecurity and Infrastructure Security Agency (CISA) américaine a rapidement inscrit cette vulnérabilité dans son catalogue, soulignant l’urgence de déployer des correctifs.

Les experts estiment que, même sans effets dévastateurs immédiats, la menace est sérieuse : un attaquant avec seulement 10 Mbps de bande passante pourrait générer des congestions équivalentes à plusieurs centaines de gigabits par seconde, amplifiant ainsi l’impact de façon exponentielle.

Pour faire face à cette menace, différentes stratégies sont recommandées simultanément : appliquer sans délai les mises à jour de sécurité, limiter le nombre de resets autorisés par connexion, déployer des solutions de détection précoce des attaques DDoS et, dans certains cas, désactiver temporairement HTTP/2 dans les environnements les plus critiques jusqu’à ce que les protections soient effectives.

Ce phénomène rappelle l’éternel dilemme entre performance et sécurité : si l’innovation améliore considérablement l’expérience utilisateur, elle peut également ouvrir des brèches inattendues. La résilience d’Internet dépend donc autant de la capacité à innover que de la rapidité à corriger ses vulnérabilités.

Selon des experts, notamment ceux de l’Université de Tel-Aviv qui ont collaboré à la découverte, les vulnérabilités de conception dans les protocoles fondamentaux sont inévitables. La clé réside dans une réponse rapide et partagée, impliquant développeurs, fournisseurs et utilisateurs finales.

Dans un avenir proche, on anticipe des attaques de plus en plus sophistiquées, une pression accrue sur la réglementation pour accélérer les déploiements de correctifs, ainsi qu’une évolution vers HTTP/3, basé sur le protocole QUIC, qui pourrait offrir une meilleure résistance face à ce type de vulnérabilité. Cependant, cette situation serve de rappel : les fondations du réseau mondial doivent toujours rester sous surveillance attentive.

Questions fréquemment posées (FAQ) :

  • Quelle différence entre MadeYouReset et Rapid Reset ? MadeYouReset exploite des trames malformées pour tromper le serveur afin qu’il redémarre les flux, tandis que Rapid Reset consistait à envoyer directement des demandes de réinitialisation.
  • Quels systèmes sont les plus vulnérables ? Ceux disposant d’implémentations HTTP/2 non corrigées, notamment des serveurs d’entreprise, des bibliothèques open source ou des services cloud obsolètes.
  • Quel impact économique ? Les attaques DDoS entraînent des pertes financières importantes liées à l’indisponibilité des services, pouvant atteindre des centaines de millions d’euros.
  • Peut-on prévenir totalement cette menace ? Non, mais l’application des correctifs, la limitation des resets, la détection avancée et la surveillance du trafic en temps réel permettent de réduire considérablement le risque.

Pour plus d’informations, consultez : MadeYouReset sur OpenSecurity

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Hitachi Vantara porte son Virtual Storage Platform One sur Azure Marketplace pour simplifier la gestion hybride et réduire les coûts

ARM nomme le responsable des puces d’IA chez Amazon et accélère ses plans pour concevoir ses propres processeurs

NVIDIA accélère la révolution des jumeaux numériques avec OpenUSD et l’IA physique

Empyrean lance la première plateforme EDA de processus complet pour les mémoires en Chine

Le secteur des centres de données à un tournant : coûts, IA et densité énergétique dictent le rythme de 2025

Confluent impulse une IA agentique, évolutive et en temps réel avec Streaming Agents