DNS Rebinding : Faire attaquer votre navigateur à votre réseau local 🌐

Introduction : La menace silencieuse dans votre navigateur

Imaginez visiter un site apparemment inoffensif, pour que votre navigateur se transforme sans le savoir en arme contre votre propre réseau domestique. Ce n’est pas de la science-fiction — c’est le DNS rebinding, une technique d’attaque cybernétique sophistiquée qui exploite des vulnérabilités depuis près de deux décennies et connaît une inquiétante résurgence en 2025.

Les attaques par DNS rebinding contournent la politique de même origine, un élément fondamental de la sécurité web, permettant aux attaquants d’accéder à des applications internes tournant sur des machines ou réseaux locaux, même si ces applications ne sont pas destinées à être publiques. Avec la croissance explosive des appareils Internet des objets (IoT) et l’essor des applications alimentées par l’IA utilisant des protocoles comme le Model Context Protocol (MCP), la surface d’attaque s’est considérablement élargie.

Qu’est-ce que le DNS Rebinding ? Comprendre le mécanisme d’attaque

Le DNS rebinding est une attaque qui manipule la résolution de noms de domaine dans le navigateur de la victime pour exécuter des scripts malveillants sur des appareils au sein d’un réseau privé, utilisant cette technique pour contourner les restrictions de sécurité et accéder de manière non autorisée à des machines internes.

L’anatomie d’une attaque par DNS Rebinding

L’attaque se déroule en une séquence soigneusement orchestrée :

Étape 1 : Contact initial Un utilisateur visite un site malveillant mis en place par l’attaquant, lié à un domaine que l’attaquant possède et qui pointe vers un serveur DNS sous son contrôle. Le serveur DNS de l’attaquant résout d’abord le domaine vers son propre serveur web, et la page se charge normalement.

Étape 2 : Livraison du payload En coulisses, le site malveillant sert du code côté client — généralement du JavaScript — conçu pour faire des requêtes supplémentaires vers le même domaine. L’attaquant définit un TTL (time-to-live) très court sur l’enregistrement DNS original, souvent quelques secondes, pour que le navigateur ne mette pas en cache l’adresse IP longtemps.

Étape 3 : La astuce du rebinding Lorsque le navigateur de la victime exécute le script et fait une nouvelle requête DNS pour le domaine, le serveur DNS de l’attaquant répond avec une nouvelle adresse IP — cette fois pointant vers une adresse IP interne du réseau de la victime. Le domaine résout donc à une adresse IP privée, mais le navigateur considère toujours qu’il s’agit de la même origine.

Étape 4 : Contournement de la politique de même origine Après que les navigateurs de la victime ont chargé les payloads de l’attaquant depuis le serveur de l’attaquant, celui-ci peut rebinder ses noms d’hôte à des adresses IP internes pointant vers les serveurs cibles, permettant à ses scripts d’accéder à des ressources privées via des noms d’hôte malveillants sans violer la politique de même origine.

Pourquoi le DNS Rebinding fonctionne : Exploiter les fondamentaux de la sécurité du navigateur

L’efficacité du DNS rebinding provient d’un décalage fondamental dans la façon dont les navigateurs appliquent les politiques de sécurité.

La politique de même origine et ses limites

La politique de même origine est l’un des mécanismes de sécurité web les plus critiques, empêchant les scripts d’un site d’accéder au contenu d’un autre. Elle identifie différentes origines par la combinaison du schéma URI, du nom d’hôte et du port, et les navigateurs se basent sur les noms d’hôte pour reconnaître différents serveurs sur Internet.

Cependant, il existe une faiblesse critique : les noms d’hôte ne sont pas directement liés aux appareils réseau mais sont résolus en adresses IP via DNS, et comme les propriétaires de domaines ont un contrôle total sur leurs enregistrements DNS, ils peuvent faire pointer leurs noms d’hôte vers des adresses IP arbitraires.

Défenses modernes des navigateurs et leurs limites

Les navigateurs ont tenté de mettre en place des protections contre le DNS rebinding, mais celles-ci restent imparfaites. Ils essaient de résister au rebinding en mettant en cache les réponses DNS, mais cette défense est loin d’être parfaite, et certains navigateurs ont implémenté l’accès au réseau local (aussi appelé CORS-RFC1918), bien que cela laisse encore passer certains bypass, comme l’adresse IP 0.0.0.0 sur Linux et MacOS.

Cibles réelles : quels sont les risques ?

Le DNS rebinding pose des menaces à une gamme étonnamment large d’appareils et de services sur les réseaux locaux.

Appareils IoT : la cible facile

Les consoles web sont largement adoptées par les logiciels de gestion et les appareils intelligents, et ces applications web supposent généralement que tous les visiteurs sont autorisés, exposant ainsi des informations sensibles ou offrant des privilèges administrateur sans protection forte au niveau applicatif.

Des statistiques alarmantes ont été révélées concernant la vulnérabilité des IoT :

• 165 millions d’imprimantes (66 %) sont vulnérables aux attaques par DNS rebinding, avec des fabricants comme Hewlett Packard, Epson, Konica, Lexmark et Xerox
• 160 millions de caméras IP (75 %) par des fabricants tels qu’Axis Communications, GoPro, Sony, Vivotek sont vulnérables
• 124 millions de téléphones IP (77 %) sont vulnérables, y compris des appareils d’Avaya, Cisco, Dell, NEC, Polycom
• 28 millions de téléviseurs intelligents (57 %) de Roku, Samsung, Vizio sont vulnérables

Routeurs domestiques et infrastructure réseau

Les routeurs personnels représentent des cibles particulièrement attrayantes. Beaucoup sont configurés par défaut avec des mots de passe faibles, ce qui permet à des intrus de deviner facilement leur adresse IP et de rebinder des noms d’hôte malveillants. Une fois compromis, les attaquants peuvent modifier les paramètres DNS, rerouter le trafic ou prendre le contrôle total du réseau.

Appareils domestiques intelligents : étude de cas

Les appareils Radio Thermostat CT50 & CT80 présentent les vulnérabilités IoT les plus graves, car ils n’ont aucune authentification et peuvent être contrôlés par n’importe qui sur le réseau. Un attaquant exploitant cette vulnérabilité pourrait régler des températures dangereuses — potentiellement mortelles en été pour les personnes âgées ou handicapées.

Services internes d’entreprise

Des attaquants ont utilisé un outil appelé Singularity pour scanner un réseau interne via le navigateur d’une victime, utilisant des techniques basées sur le timing pour identifier des IP internes et des ports ouverts, puis envoyant des requêtes DNS répétées pour rebinder le nom de domaine à une IP interne.

Les serveurs de développement, interfaces de gestion de bases de données et points d’API tournant sur des ports courants comme 3000, 8000 ou 8080 deviennent accessibles aux attaquants distants. Lors d’un test, des chercheurs ont démontré une attaque sur une interface de gestion Hadoop non accessible publiquement, mais une fois que le navigateur a rebinder le nom d’hôte à son IP interne, l’attaquant pouvait accéder à la page et voir l’état du cluster ou tuer des jobs.

Menace émergente : serveurs MCP

Une nouvelle menace préoccupante est apparue en 2025. Les serveurs Model Context Protocol (MCP) émergent rapidement comme le tissu conjonctif pour l’automatisation d’entreprise et les applications à agent, avec MCP.so listant déjà 13 000 et plus dans son dépôt.

Les serveurs MCP sont à l’intersection entre services IA externes et ressources internes d’entreprise, ce qui en fait une porte d’entrée potentielle pour les attaquants, car de nombreuses implémentations utilisent des protocoles HTTP pour la communication, s’appuyant sur des contrôles d’accès basés sur le domaine. Lorsqu’ils sont compromis via DNS rebinding, ces serveurs pourraient donner aux attaquants accès à plusieurs systèmes backend, clés API ou identifiants de service.

L’impact : ce que les attaquants peuvent réaliser

Les conséquences des attaques par DNS rebinding réussies vont bien au-delà du simple vol de données.

Exfiltration d’informations

Les attaquants peuvent recueillir des informations sensibles sur des appareils, y compris des identifiants uniques et la géolocalisation précise, suivre et profiler les propriétaires pour leur servir des publicités, ou contrôler les appareils. En environnement d’entreprise, des imprimantes compromises peuvent divulguer des documents scannés, tandis que les consoles de développement peuvent exposer du code source et des identifiants.

Exécution de code à distance

Singularity propose plusieurs payloads d’attaque, allant de la récupération de la page d’accueil d’une application cible à l’exécution de code à distance, exploitant des services comme le client de sauvegarde Duplicati ou le débogueur PDB en Python.

Contournement des protections CSRF

Le DNS rebinding peut contourner les protections contre la falsification de requêtes inter-sites (CSRF), qui s’appuient normalement sur la politique de même origine pour bloquer les attaquants. En rebinding, cette protection est levée. Lors de tests d’intrusion, des attaquants ont réussi à extraire des tokens de session et à exécuter des commandes sur des serveurs.

Reconnaissance réseau et mouvement latéral

Singularity fournit un scanner de ports HTTP simple, rapide et efficace pour identifier les services vulnérables, et l’automatisation des attaques permet de scanner et exploiter automatiquement les services vulnérables sur un réseau.

Incidents réels

Des attaques par DNS rebinding ont été documentées dans divers scénarios :

• CVE-2023-52235 a montré que le routeur Wi-Fi SpaceX Starlink GEN 2 avant 2023.53.0 et la dish Starlink permettaient une CSRF via une attaque DNS rebinding
• Des vulnérabilités de DNS rebinding ont été trouvées sur plusieurs appareils intelligents de grandes marques, notamment Google Home, Sono WiFi Speaker et Roku

Défis de détection : pourquoi le DNS rebinding persiste

Malgré leur connaissance depuis des décennies, les attaques par DNS rebinding restent difficiles à détecter et à prévenir.

Le paradoxe de la fiabilité

Il y a tellement de couches impliquées (cache DNS du navigateur, cache DNS du système d’exploitation, serveurs DNS) que l’attaque est souvent considérée comme peu fiable et non comme une menace réelle. Cette perception a conduit à la complaisance, même si des outils automatisés comme Singularity ont rendu ces attaques de plus en plus pratiques.

Faibles valeurs TTL comme indicateurs

Une méthode de détection consiste à surveiller les noms de domaine avec une valeur TTL faible, mais il faut faire attention aux faux positifs, car de nombreux domaines légitimes sont configurés avec une faible valeur TTL.

Détection d’adresses IP privées

Une autre méthode consiste à utiliser des DNS Response Policy Zones (RPZ) et à enregistrer/bloquer les noms de domaine pointant vers l’espace d’adresses RFC1918/prive. Cependant, cette approche peut générer des faux positifs avec des services légitimes utilisant des IP internes.

Stratégies de protection : se défendre contre le DNS rebinding

Se protéger contre le DNS rebinding nécessite une approche multicouche impliquant plusieurs acteurs.

Pour les administrateurs réseau

Filtrage DNS Les serveurs DNS en chaîne peuvent filtrer les adresses IP privées et de boucle locale, avec des serveurs DNS publics externes appliquant le filtrage DNS, et les administrateurs locaux configurant leur(s) serveur(s) DNS pour bloquer la résolution de noms externes vers des IP internes.

Segmentation du réseau Isoler les appareils IoT sur des segments réseau séparés pour limiter l’impact en cas de compromission. Tous les appareils ne peuvent pas toujours être déplacés, mais plus vous isolez, mieux c’est.

Règles de pare-feu Mettre en place des règles strictes pour empêcher l’accès non autorisé aux services web internes, même depuis le réseau local.

Pour les développeurs d’applications

Validation de l’en-tête Host Valider les en-têtes Host des requêtes HTTP entrantes pour s’assurer qu’ils correspondent aux valeurs attendues. Cela empêche l’utilisation de domaines rebondis pour accéder à vos services.

Mise en œuvre de HTTPS Utiliser HTTPS pour toutes les communications privées, car la poignée de main HTTPS nécessite le bon domaine pour valider le certificat SSL, empêchant ainsi les scripts malveillants d’établir des connexions SSL vers les services cibles lors d’un rebinding.

Authentification et autorisation Ne jamais supposer que les requêtes du réseau local sont intrinsèquement dignes de confiance. Mettre en place des mécanismes d’authentification robustes, même pour les services internes.

En-têtes CORS Configurer correctement les en-têtes Cross-Origin Resource Sharing (CORS) pour contrôler explicitement quels origines peuvent accéder à vos services.

Pour les fournisseurs de navigateurs

Fixation DNS (DNS Pinning) Utiliser la fixation DNS pour forcer les navigateurs à mettre en cache les résultats de résolution DNS pour une période fixe, empêchant les sites malveillants de rebinder les noms d’hôte en effectuant plusieurs requêtes DNS en peu de temps.

Contrôles d’accès au réseau local Continuer à développer et affiner les spécifications d’accès au réseau local pour mieux protéger les ressources du réseau privé contre les sites externes.

Pour les utilisateurs finaux

Extensions de navigateur L’extension NoScript pour Firefox inclut ABE, une fonctionnalité de pare-feu dans le navigateur qui, par défaut, empêche les attaques sur le réseau local en empêchant les pages web externes d’accéder aux adresses IP locales.

Meilleures pratiques de gestion des appareils - Modifier les mots de passe par défaut sur tous les appareils IoT - Désactiver les services inutiles comme UPnP - Mettre à jour le firmware de tous les appareils réseau - Faire attention aux sites visités et à la durée de visite sur des pages inconnues

Fournisseurs de sécurité DNS Choisir un fournisseur de sécurité DNS offrant une protection en temps réel via des signatures sophistiquées qui reconnaissent les modèles de requêtes DNS anormaux et capturent les indicateurs de compromission (IOCs) des attaques de rebinding connues.

L’avenir des menaces de DNS Rebinding

À mesure que la technologie évolue, les vecteurs d’attaque du DNS rebinding aussi.

Techniques d’accélération

Des chercheurs ont démontré que les attaquants peuvent utiliser plusieurs stratégies de réponse DNS pour accélérer le processus de rebinding, notamment la technique “fast multiple answers” permettant de rebinder en quelques secondes en fournissant plusieurs IP dans une seule réponse DNS.

Expansion de la surface d’attaque

La prolifération des interfaces de gestion web, des outils de développement aux serveurs d’intégration IA, continue d’élargir les cibles potentielles des attaques par DNS rebinding. La portée des cibles potentielles est vaste et en croissance, incluant des serveurs de développement sur des ports courants, des interfaces de bases de données accessibles via des consoles web, des appareils IoT avec interfaces web, des panneaux d’administration de matériel réseau, et des API comme Docker.

Automatisation et outils

Des outils qui automatisent ces attaques, comme le Simple DNS Rebinding Service de Tavis Ormandy ou Singularity de NCCGroup, rendent ces attaques de plus en plus accessibles à des attaquants moins sophistiqués.

Conclusion : La vigilance à l’ère des appareils connectés

Les attaques par DNS rebinding représentent une menace persistante et en évolution, exploitant des aspects fondamentaux du fonctionnement d’Internet. La longévité de cette technique — près de trois décennies — montre que les défis de sécurité dépassent souvent la technologie elle-même.

Il y a eu au moins un CVE lié au DNS rebinding chaque année depuis 2015, avec une augmentation significative du nombre de CVEs depuis 2018, ce qui indique que cette menace ne diminue pas malgré une prise de conscience accrue.

La clé de la protection réside dans une défense en profondeur : combiner le filtrage réseau, la sécurité applicative, les protections du navigateur et la sensibilisation des utilisateurs. À mesure que nous connectons davantage d’appareils à nos réseaux et intégrons des outils alimentés par l’IA dans nos flux de travail, comprendre et atténuer les attaques par DNS rebinding devient non seulement important — mais essentiel.

Souvenez-vous : votre navigateur est une passerelle puissante entre Internet et votre réseau privé. Assurez-vous qu’il sert vos intérêts, pas ceux d’un attaquant.

---

Mots-clés : attaque DNS rebinding, vulnérabilité sécurité navigateur, contournement politique de même origine, menaces IoT, attaque réseau local, sécurité application web, sécurité DNS, test de pénétration réseau, sécurité maison intelligente, protection services internes, sécurité CORS, fixation DNS, sécurité serveur MCP, sécurité réseau d’entreprise, exploitation TTL DNS