Securite HTTP/2
Qu'est-ce que Securite HTTP/2 ?
Securite HTTP/2Modele de securite d'HTTP/2 (RFC 9113) sur TLS 1.2+, plus les ecueils operationnels d'HPACK, du multiplexage, des trames CONTINUATION et de l'attaque Rapid Reset de 2023.
HTTP/2 est specifie dans la RFC 9113 (qui remplace la RFC 7540) et multiplexe de nombreuses requetes simultanees sur une seule connexion TLS, avec HPACK (RFC 7541) pour la compression d'en-tetes et des trames binaires. En pratique, tout le trafic HTTP/2 des navigateurs passe par TLS 1.2 ou 1.3 avec les restrictions de suites obligatoires de la section 9.2 de la RFC 9113. Les implementations doivent attenuer les abus connus : HPACK Bomb (amplification memoire), flood CONTINUATION (CVE-2024-27316), HTTP request smuggling a la frontiere H2 vers H1, et l'attaque Rapid Reset (CVE-2023-44487, divulguee en octobre 2023) ou les attaquants ouvrent et annulent immediatement des streams pour epuiser le CPU avec un DDoS record. Le durcissement inclut quotas, limites de RST_STREAM et implementations a jour.
● Exemples
- 01
CVE-2023-44487 (Rapid Reset) : ouverture et RST_STREAM-annulation de streams HTTP/2 atteignant des pics DDoS de ~398 millions de requetes par seconde.
- 02
CVE-2024-27316 : nginx et d'autres epuisent la memoire en acceptant des sequences HEADERS+CONTINUATION sans bornes.
● Questions fréquentes
Qu'est-ce que Securite HTTP/2 ?
Modele de securite d'HTTP/2 (RFC 9113) sur TLS 1.2+, plus les ecueils operationnels d'HPACK, du multiplexage, des trames CONTINUATION et de l'attaque Rapid Reset de 2023. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie Securite HTTP/2 ?
Modele de securite d'HTTP/2 (RFC 9113) sur TLS 1.2+, plus les ecueils operationnels d'HPACK, du multiplexage, des trames CONTINUATION et de l'attaque Rapid Reset de 2023.
Comment fonctionne Securite HTTP/2 ?
HTTP/2 est specifie dans la RFC 9113 (qui remplace la RFC 7540) et multiplexe de nombreuses requetes simultanees sur une seule connexion TLS, avec HPACK (RFC 7541) pour la compression d'en-tetes et des trames binaires. En pratique, tout le trafic HTTP/2 des navigateurs passe par TLS 1.2 ou 1.3 avec les restrictions de suites obligatoires de la section 9.2 de la RFC 9113. Les implementations doivent attenuer les abus connus : HPACK Bomb (amplification memoire), flood CONTINUATION (CVE-2024-27316), HTTP request smuggling a la frontiere H2 vers H1, et l'attaque Rapid Reset (CVE-2023-44487, divulguee en octobre 2023) ou les attaquants ouvrent et annulent immediatement des streams pour epuiser le CPU avec un DDoS record. Le durcissement inclut quotas, limites de RST_STREAM et implementations a jour.
Comment se défendre contre Securite HTTP/2 ?
Les défenses contre Securite HTTP/2 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Securite HTTP/2 ?
Noms alternatifs courants : RFC 9113, h2.
● Termes liés
- network-security№ 499
HTTP/3 / QUIC
HTTP/3 (RFC 9114) est la projection d'HTTP sur QUIC (RFC 9000), un transport chiffre base sur UDP qui integre TLS 1.3 et offre un multiplexage par flux sans head-of-line blocking.
- vulnerabilities№ 494
HTTP Request Smuggling
Attaque exploitant le désaccord entre un proxy frontal et un serveur back-end sur la fin d'une requête HTTP, permettant à un attaquant d'introduire une seconde requête cachée.
- network-security№ 1227
Pare-feu applicatif web (WAF)
Filtre en reverse proxy qui inspecte le trafic HTTP/HTTPS pour bloquer les attaques web (injection SQL, XSS, abus de bots) avant qu'elles n'atteignent l'application.