Cloudflare a corrigé deux vulnérabilités DDoS critiques (CVE-2025-4820 et CVE-2025-4821) découvertes dans son implémentation open source quiche du protocole QUIC. Ces failles de sécurité affectaient les services QUIC et HTTP/3 de Cloudflare ainsi que les projets tiers utilisant la bibliothèque quiche, tandis que les autres implémentations majeures de QUIC par Google, Apple et Microsoft ne semblent pas être affectées.
Ces failles basées sur les accusés de réception (ACK) permettaient à des attaquants de submerger potentiellement les systèmes via des requêtes réseau forgées, menaçant la stabilité des services s’appuyant sur le protocole QUIC, de plus en plus populaire pour des communications Internet plus rapides. Cloudflare a réagi en publiant la version 0.24.4 pour corriger CVE-2025-4820, suivie de la version 0.24.5 contenant les correctifs pour les deux vulnérabilités, d’après les publications de l’entreprise sur GitHub.
Les vulnérabilités ont frappé au cœur de l’infrastructure de Cloudflare, affectant ses services de proxy inverse et de CDN qui terminent les connexions QUIC et HTTP/3 pour des millions de clients dans le monde. Ces services essentiels, qui contribuent à accélérer et protéger les sites web, ont nécessité des correctifs immédiats pour atténuer la menace de déni de service.
Effets en chaîne dans tout le secteur
Les failles de sécurité se sont propagées bien au-delà des systèmes de Cloudflare, déclenchant une cascade de mises à jour de sécurité au sein de l’écosystème open source. PowerDNS a publié l’avis de sécurité 2025-05 pour son produit DNSdist le 18 septembre, avertissant les utilisateurs de la vulnérabilité affectant ses fonctionnalités DNS-over-QUIC et DNS-over-HTTP/3, selon le blog de PowerDNS.
Le projet FreeBSD s’est également mobilisé rapidement pour intégrer la version corrigée 0.24.5 dans son port quiche, comme le documente le Bugzilla de FreeBSD. La réponse rapide de ces projets en aval souligne la nature interconnectée de l’infrastructure Internet moderne, où une vulnérabilité dans une bibliothèque largement utilisée peut affecter des systèmes divers à l’échelle mondiale.
L’examen des autres implémentations majeures de QUIC n’a révélé aucune vulnérabilité similaire. Les avis publics concernant quicly de Google, mvfst d’Apple et msquic de Microsoft n’ont révélé aucune preuve de failles DDoS comparables exploitant les accusés de réception, suggérant que les problèmes étaient spécifiques à l’implémentation de Cloudflare et non inhérents au protocole QUIC lui-même.
Cet incident met en évidence un défi majeur de la sécurité réseau moderne : bien que les protocoles soient théoriquement sûrs, leurs implémentations logicielles peuvent introduire des vulnérabilités inattendues. À mesure que l’adoption de QUIC s’accélère — alimentant tout, de la navigation web aux requêtes DNS — la nécessité d’audits de sécurité rigoureux et spécifiques aux implémentations devient primordiale.
Les experts en sécurité soulignent que la recherche proactive de vulnérabilités et les techniques de fuzzing automatisé seront cruciales pour identifier et corriger les bogues d’implémentation avant qu’ils ne puissent être exploités, garantissant la stabilité des protocoles Internet de nouvelle génération dont dépendent quotidiennement des milliards d’utilisateurs.
