Skip to content

127.0.0.1 est-elle la seule adresse de bouclage ?

Réponse courte

Non. Toute la plage 127.0.0.0/8 est réservée au bouclage, donc 127.0.0.2, 127.1.1.1, et ainsi de suite résolvent toutes vers l'hôte local. C'est crucial pour le SSRF et le contournement de listes d'autorisation — un attaquant peut utiliser 127.0.0.2 ou d'autres encodages pour esquiver un contrôle naïf « bloquer 127.0.0.1 » — et pour lier plusieurs services locaux. (En IPv6, le bouclage est l'unique adresse ::1.)

Presque tout le monde tape 127.0.0.1 si souvent qu'on suppose que c'est la seule adresse de bouclage. Ce n'est pas le cas, et cette supposition est exactement le genre de faille qui transforme un filtre SSRF faible en vraie vulnérabilité.

Tout le /8 boucle

La RFC 1122 réserve le bloc 127.0.0.0/8 entier — chaque adresse de 127.0.0.1 à 127.255.255.254 — au bouclage. Ainsi 127.0.0.2, 127.1.1.1 et 127.42.42.42 renvoient toutes le trafic directement vers l'hôte local sans jamais toucher le câble. Le noyau ne route jamais 127.x hors de la machine. Cela représente environ 16 millions d'adresses de bouclage, et non une seule.

Pourquoi un pentester s'y intéresse

C'est un classique du travail sur le SSRF et le contournement de listes d'autorisation. Une défense naïve qui ne bloque que la chaîne littérale 127.0.0.1 (ou localhost) se contourne facilement : un attaquant atteint les mêmes services locaux via 127.0.0.2, ou via d'autres encodages de 127.0.0.1 — le décimal 2130706433, l'octal 0177.0.0.1, l'hexa 0x7f.0.0.1, la forme à zéros, ou même des noms DNS résolvant vers une adresse 127.x. La bonne parade résout l'hôte et vérifie si l'IP résolue tombe dans des plages réservées, plutôt qu'une comparaison de chaîne.

Des usages pratiques aussi

La large plage est réellement utile : vous pouvez lier de nombreux services locaux à des adresses de bouclage distinctes (par ex. 127.0.0.2:80 et 127.0.0.3:80) pour éviter les collisions de ports en développement.

Le contraste IPv6

L'IPv6 est plus strict : le bouclage est l'unique adresse ::1 (le /128 ::1/128), sans équivalent du gigantesque bloc 127/8. Le mentionner montre votre envergure.

Pourquoi les distracteurs sont tentants

« Toute autre 127.x est publique » et « le reste est du multicast » répètent tous deux le mythe de l'adresse unique avec des détails inventés. « Le bouclage est en réalité 0.0.0.0 » confond l'adresse non spécifiée / « toutes les interfaces » avec le bouclage.

Ce que recherchent les recruteurs

Un « non — tout 127.0.0.0/8 » clair, et idéalement la chute sécurité : ne jamais blocklister un seul littéral de bouclage ; résoudre puis vérifier la plage à la place.

Questions de suivi probables

  • Montrez-moi trois façons d'écrire « 127.0.0.1 » qui déjouent une liste de blocage par chaîne naïve.
  • Pourquoi bloquer seulement « 127.0.0.1 » est-il insuffisant pour stopper un SSRF vers localhost ?
  • Quel est le bouclage IPv6, et comment sa taille se compare-t-elle à 127.0.0.0/8 ?

Sources

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.