Résilience de Fastly face aux attaques de désynchronisation HTTP/1.1

Le 6 août 2025, Fastly a publié une mise à jour de l'état de sécurité confirmant notre résilience aux attaques de désynchronisation HTTP/1.1 révélées cette semaine à Black Hat par James Kettle. Son analyse détaillée, HTTP/1.1 Must Die: The Desync Endgame, dévoile de nouvelles classes d'attaques qui ont exposé des dizaines de millions de sites web à travers des vulnérabilités critiques dans les principales infrastructures CDN. 

Ces nouveaux vecteurs d'attaque exploitent la « faille fatale » du protocole HTTP/1.1, à savoir la faiblesse des limites de requête et les multiples méthodes de spécification de longueur, créant ainsi une ambiguïté extrême que les pirates peuvent exploiter pour prendre le contrôle de sites, détourner des identifiants et empoisonner le cache.

Compte tenu de la gravité de ces conclusions, la question suivante se pose naturellement : Fastly est-il vulnérable ?

Nous sommes heureux d'annoncer que la plateforme de Fastly n'est pas vulnérable aux nouveaux vecteurs d'attaque de désynchronisation HTTP/1.1 ou à ceux déjà connus, découverts par des chercheurs en sécurité.

La plateforme cloud périphérique de Fastly traite quotidiennement 1 800 milliards de requêtes HTTP*. Alors que d'autres CDN et plateformes présentaient des failles critiques affectant les sites web et les services des clients, l'architecture de Fastly a permis de se prémunir contre ces vecteurs d'attaque, poursuivant ainsi une longue tradition de protection contre les vulnérabilités liées au détournement des requêtes HTTP. La pile réseau unifiée de Fastly garantit la cohérence dans le traitement des requêtes et protège les clients contre ce type d'attaques. Les protocoles et leurs interactions deviennent plus complexes chaque année. Les efforts proactifs de Fastly en matière de sécurité au niveau architectural se sont révélés prémonitoires, alors que le secteur est confronté à de nouvelles attaques année après année.

La réponse de Fastly à la désynchronisation HTTP/1.1

La cause première de la désynchronisation HTTP, également connue sous le nom de HTTP request smuggling, est la divergence d’analyseur, un décalage dans la manière dont les différents systèmes interprètent les requêtes HTTP en raison de variations dans leur logique d’analyse. Fastly élimine ce problème grâce à l'uniformité de son architecture, qui repose sur une implémentation unique de l'analyse à travers toute la pile, ne laissant aucune place aux comportements incompatibles et aux cas en périphérie susceptibles de créer des vulnérabilités.

Les architectures CDN classiques souffrent de différences d'analyse en cascade, chaque traduction introduisant des vulnérabilités potentielles (telles que celles révélées lors de la conférence Black Hat). Alors que les concurrents se contentent de « corriger » les vulnérabilités pour se retrouver ensuite confrontés à de nouvelles variantes, la mise en œuvre défensive de Fastly offre une protection durable (image 1).

Nous sommes convaincus que les solutions provisoires imposent une charge injustifiée aux clients, les obligeant à se protéger eux-mêmes contre les vulnérabilités de leurs vendeurs. Fastly a donc intégré la protection dans son architecture : il s'agit d'une protection par défaut, et non d'une réflexion après coup. C'est un élément fondamental.  

Historique des attaques connexes

Notre engagement à dépasser les exigences de sécurité dans les spécifications du protocole a fourni une protection. Voici un bref retour en arrière, tel qu'identifié par PortSwigger Research dans sa présentation et son article de blog, concernant les attaques associées :

• 2019 : Immunisé contre les attaques CL.TE/TE.CL originales auxquelles d'autres ont succombé.

• 2021 : Protection contre H2.CL/H2.TE, alors que les concurrents s'efforçaient de corriger le problème.

• 2022 : Insensible aux attaques CL.0 grâce à la validation obligatoire.

• 2024 : Résilient aux vulnérabilités TE.0 et Funky Chunks

• 2025 : Immunité confirmée contre les attaques basées sur Expect et 0.CL, d’une valeur de plus de 350 000 $ en primes ailleurs

Alors que pour d'autres, les équilibreurs de charge restent non corrigés en raison de « problèmes de compatibilité » et que nginx ne dispose pas d'une protection 0.CL viable, l'application stricte des normes de Fastly élimine des classes d'attaques entières.

Renforcement de la sécurité HTTP pour la gestion d'un trafic client important

Le pipeline de traitement HTTP de Fastly met en œuvre une défense en profondeur grâce à des composants intégrés :

• Validation de la requête en périphérie : nous rejetons immédiatement les demandes HTTP/1.1 ambiguës, avant le début du traitement.

• Analyse HTTP unifiée : un seul analyseur syntaxique pour tous les composants réduit les incohérences.

• Normalisation stricte : les requêtes sont triées et restructurées avant d'être transmises.

• Traduction de protocole contrôlée : nous gérons les rétrogradations HTTP/2 et HTTP/3 vers HTTP/1.1 de manière cohérente et sécurisée.

Cela contraste fortement avec les chaînes de proxy mixtes utilisées par d'autres CDN, où le traitement incohérent des versions HTTP a entraîné de graves vulnérabilités affectant des millions de sites web.

Nous estimons que les normes de l'Internet Engineering Task Force (IETF) constituent un minimum, et non un maximum, en matière de protection du trafic client. Notre validation des requêtes respecte scrupuleusement les exigences RFC, ce qui nous aide spécifiquement à prévenir ce type d'attaques.

Alors que d'autres CDN ont versé plus de 350 000 dollars en primes de bug pour des problèmes liés à des en-têtes mal formés, la validation stricte de Fastly, qui consiste notamment à rejeter purement et simplement les en-têtes Expect mal formés, a permis de contrer ces attaques.

L'architecture de Fastly préserve les hypothèses de sécurité critiques de bout en bout, offrant une protection contre les attaques de désynchronisation avancées telles que 0.CL et la double désynchronisation. Par exemple, la vulnérabilité qui a affecté le CDN d'un concurrent, permettant un détournement généralisé des réponses, n'aurait tout simplement pas été efficace contre l'architecture de Fastly.

Résultats : une sécurité durable grâce à Fastly

La communauté de sécurité, comme le démontre PortSwigger Research, est infiniment diligente dans l’identification des failles dans les infrastructures internet critiques. Les révélations lors de la conférence Black Hat de cette semaine sont les dernières d’une longue série d’efforts aussi importants pour trouver des vulnérabilités. Des failles fondamentales dans les protocoles et les services peuvent régulièrement exposer des millions de sites web à des risques de compromission. Fastly continuera à privilégier les protections architecturales, en assumant cette responsabilité pour nos clients.

Fastly continue de surveiller l'évolution des menaces et d'adapter ses défenses afin de garantir le plus haut niveau de sécurité à ses clients. Vos applications web sont protégées grâce à notre approche proactive et à la résilience de notre architecture.

Restez à l'écoute pour notre prochain blog, dans lequel nous approfondirons les menaces croissantes des attaques de désynchronisation, les défis liés au protocole HTTP/1.1 et la résilience unique de Fastly. Si vous souhaitez en savoir plus sur la manière dont Fastly protège vos applications contre l'évolution des menaces, contactez l'un de nos experts dès aujourd'hui.

* Au 31 juillet 2023