Toute l'astuce tient dans le mariage de deux mécanismes connus depuis des lustres. HTTP/2 sait compresser les en-têtes des requêtes pour éviter de répéter cent fois la même chose, et c'est précisément cette générosité que l'attaquant retourne contre le serveur, en faisant référence des milliers de fois à un en-tête glissé une seule fois, si bien que la machine réserve de la mémoire à tour de bras pour quelque chose qui, au départ, ne pèse presque rien.

C'est comme un shell bomb, en HTTP 2 via la décompression. L'attaque a un ratio de données de 5000:1.
100Mb/s peuvent donc causer 500Gb/s de DoS.

Source: https://thehackernews.com/2026/06/new-http2-bomb-vulnerability-allows.html