Server-Side Request Forgery (SSRF) : la faille qui ouvre votre cloud
> En bref : Comment la SSRF permet d'atteindre les services internes de votre infrastructure cloud, avec des scénarios réels AWS, GCP et Azure.
Qu'est-ce que la SSRF
La Server-Side Request Forgery force votre serveur à émettre des requêtes HTTP vers des destinations choisies par l'attaquant. Au lieu d'attaquer directement votre infrastructure interne, l'attaquant utilise votre application comme proxy. C'est particulièrement dangereux en environnement cloud où le serveur a accès à des services internes non exposés sur Internet.
Le scénario classique : métadonnées cloud
Tous les grands clouds exposent un service de métadonnées accessible uniquement depuis les instances. Sous AWS, c'est http://169.254.169.254/latest/meta-data/. Si votre application accepte une URL fournie par l'utilisateur et effectue une requête côté serveur (prévisualisation d'un lien, import d'image, webhook), l'attaquant peut demander cette adresse interne.
Impact réel : en 2019, Capital One a été compromise via une SSRF qui a permis de récupérer les identifiants IAM temporaires depuis les métadonnées EC2. Plus de 100 millions de dossiers clients ont été exposés.
Où se cachent les SSRF
Les techniques de contournement
Les filtres basiques sont facilement contournés :
169.254.169.254 peut s'écrire 0xa9fea9fe, 2852039166 (décimal), ou 0251.0376.0251.0376 (octal)http://evil.com@169.254.169.254 peut tromper certains parsers d'URLDéfenses efficaces
GCP et Azure aussi
Sur GCP, le service de métadonnées est à http://metadata.google.internal/computeMetadata/v1/ et exige le header Metadata-Flavor: Google. Sur Azure, c'est http://169.254.169.254/metadata/instance avec le header Metadata: true. La protection par header rend l'exploitation plus difficile mais pas impossible si l'application permet de contrôler les headers de la requête sortante.
En audit
Chez CleanIssue, nous testons systématiquement les fonctionnalités de fetch externe contre les adresses de métadonnées cloud. La SSRF est souvent combinée avec d'autres failles pour obtenir un impact critique. Parlez-nous de votre revue externe pour évaluer votre exposition.
À retenir
Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
Sécurité cloud AWS, GCP, Azure : les 10 erreurs IAM les plus courantes
Les erreurs de configuration IAM qui exposent votre infrastructure cloud : permissions excessives, credentials statiques, MFA manquant, et plus.
Next.js CVE-2026-44578 : une SSRF via WebSocket sur les instances auto-hébergées
Une faille SSRF (CVSS 8.6) dans le serveur Node.js intégré de Next.js permet à un attaquant non authentifié de faire proxifier des requêtes vers vos services internes. Vercel n'est pas touché, l'auto-hébergement oui. Correctif : 15.5.16 / 16.2.5.
Kubernetes : 7 vulnérabilités critiques que nous trouvons en audit
Les sept failles de configuration Kubernetes les plus fréquentes dans nos audits : RBAC, secrets, network policies, pods privilégiés et plus.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.