HTTP/2 : Le rapport Hacker Intelligence Initiative d’Imperva révèle quatre failles majeures

0
91

HTTP/2 : Le rapport Hacker Intelligence Initiative d’Imperva révèle quatre failles majeures dans la dernière version du protocole sous-jacent d’Internet.

Imperva, Inc., spécialiste de la protection des données et des applications critiques sur site et dans le Cloud, vient de publier son nouveau rapport Hacker Intelligence Initiative (HII), intitulé « HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol », dans le cadre de la conférence Black Hat USA 2016. Les chercheurs du centre de défense d’Imperva y recensent quatre vulnérabilités majeures détectées dans HTTP/2, la nouvelle version du protocole HTTP, l’une des principales composantes d’Internet.

HTTP/2 introduit de nouveaux mécanismes qui augmentent effectivement la surface d’attaque des infrastructures Web critiques ; celles-ci deviennent alors vulnérables à de nouveaux types d’attaques. Les chercheurs du centre de défense d’Imperva ont étudié de manière approfondie les implémentations serveur du protocole HTTP/2 des éditeurs Apache, Microsoft, NGINX, Jetty et nghttp2. L’équipe a découvert des vulnérabilités exploitables dans l’ensemble des principaux mécanismes de HTTP/2 qu’elle a examinés, dont deux similaires à des vulnérabilités bien connues et largement exploitées dans HTTP/1.x. Il est probable que d’autres implémentations du protocole HTTP/2 soient également touchées par ces vulnérabilités.

« Les améliorations générales apportées aux performances Web et les perfectionnements spécifiques aux applications mobiles introduits dans le protocole HTTP/2 représentent une aubaine potentielle pour les utilisateurs d’Internet », explique Amichai Shulman, co-fondateur et directeur technique d’Imperva. « Toutefois, lorsqu’une grande quantité de nouveaux codes est très rapidement lâchée dans la nature, cela fournit aux attaquants une excellente opportunité. Bien qu’il soit inquiétant de retrouver dans HTTP/2 des menaces connues de HTTP 1.x, ce n’est guère surprenant. Comme pour toute nouvelle technologie, il est important que les entreprises exercent des contrôles préalables et mettent en œuvre des mesures de sauvegarde afin de se prémunir de l’étendue de la surface d’attaque et de protéger les données critiques et les données relatives aux consommateurs contre des cyber-menaces en perpétuelle évolution. »

Ces menaces sont particulièrement préoccupantes, étant donné l’adoption rapide du protocole HTTP/2. Selon W3Techs, 8,7 % de tous les sites Web, soit environ 85 millions de sites, utilisent HTTP/2, un chiffre qui a presque quadruplé par rapport aux 2,3 % seulement enregistrés en décembre 2015.

Les quatre vecteurs d’attaques majeurs découverts par les chercheurs d’Imperva sont les suivants1 :

  • Slow Read – L’attaque fait appel à un client malveillant pour lire les réponses très lentement ; elle est identique à la célèbre attaque par déni de service distribué (DDoS) Slowloris qui toucha les principales sociétés de traitement des cartes de crédit en 2010. Il est intéressant de souligner que, bien que les attaques Slow Read aient été amplement étudiées dans l’écosystème HTTP/1.x, elles se révèlent toujours efficaces, cette fois-ci dans la couche applicative des implémentations de HTTP/2. Le centre de défense d’Imperva a identifié des variantes de cette vulnérabilité sur les serveurs Web les plus populaires, notamment Apache, IIS, Jetty, NGINX, ou encore nghttp2.
  • HPACK Bomb – Cette attaque de la couche de compression s’apparente à une bombe de décompression. L’attaquant élabore de petits messages apparemment innocents, qui représentent finalement plusieurs gigaoctets de données sur le serveur. Cela mobilise l’intégralité des ressources mémoire du serveur, le rendant indisponible.
  • Dependency Cycle Attack – L’attaque tire parti des mécanismes de contrôle des flux introduits dans HTTP/2 pour l’optimisation du réseau. Le client malveillant forge des requêtes qui induisent un cycle de dépendances ; le serveur, en tentant de traiter ces dernières, est alors entraîné de force dans une boucle infinie.
  • Stream Multiplexing Abuse – L’attaquant utilise les failles existant dans l’implémentation par les serveurs de la fonctionnalité de multiplexage des flux, dans le but de faire planter le serveur. Cela finit par générer un déni de service à l’égard des utilisateurs légitimes.

Bien que les nouvelles technologies soient une source de progrès, elles sont également porteuses de nouveaux risques. Lors de l’adoption d’une technologie telle que le protocole HTTP/2, les sociétés doivent impérativement demeurer vigilantes quant à la possibilité de nouvelles zones d’exposition et d’attaque. L’implémentation d’un pare-feu d’applications Web (WAF) doté de capacités d’application de correctifs virtuels peut aider les entreprises à protéger leurs données et leurs applications critiques contre les cyberattaques.

Pour accéder à un exemplaire du rapport HII sur le protocole HTTP/2, consultez la page bit.ly/2auulkd, ou pour découvrir l’infographie, rendez-vous à l’adresse bit.ly/2amIuRH.

1) Conformément aux pratiques en vigueur dans le secteur, le centre de défense d’Imperva a collaboré avec les éditeurs identifiés afin de garantir que les vulnérabilités soient corrigées avant la publication du rapport.