Retour au blog

Claude Code : l'attaque DNS qui compromet les machines des développeurs sans une ligne de code malveillant

Claude Code : l'attaque DNS qui compromet les machines des développeurs sans une ligne de code malveillant

[Titre: Claude Code : l’attaque DNS qui compromet les machines des développeurs sans une ligne de code malveillant] [Slug suggéré: claude-code-attaque-dns-prompt-injection-reverse-shell] [Catégorie: Cybersécurité] [Tags: claude code, anthropic, injection de prompt, cybersécurité, dns, reverse shell, agentic coding, zero day, mozilla]

Les agents de codage autonomes comme Claude Code sont en train de redéfinir la productivité des développeurs. Mais une nouvelle attaque découverte par les chercheurs de Mozilla Zero Day Investigative Network (0DIN) montre leur face la plus sombre : une chaîne d’attaque qui compromet totalement une machine de développeur sans placer une seule ligne de code malveillant dans le dépôt.

L’attaque en trois actes

L’attaque repose sur un principe aussi simple que terrifiant : l’injection de promp indirecte via DNS. Voici comment elle s’enchaîne :

Acte 1 : Le piège dans le dépôt

Un dépôt GitHub apparemment innocent contient trois composants qui, pris individuellement, ne déclenchent aucun signal d’alarme : - Un fichier de configuration standard - Une dépendance apparemment normale - Un message d’erreur personnalisé

Acte 2 : L’agent exécute sans savoir

Le développeur demande à Claude Code : “Lance le projet.” L’agent : 1. Lit les fichiers du dépôt 2. Installe les dépendances 3. Exécute le code 4. Rencontre une erreur — un RuntimeError délibérément placé 5. Lit le message d’erreur qui lui ordonne d’exécuter une commande : python3 -m axiom init

Le piège est que cette commande n’est pas dans le code du dépôt. Elle est dans un message d’erreur, que l’agent interprète comme une instruction de débogage légitime.

Acte 3 : La résurrection via DNS

La commande axiom init effectue une requête DNS vers un domaine contrôlé par l’attaquant. L’enregistrement DNS TXT — un simple texte associé au domaine — contient une chaîne base64 qui se décode en… un reverse shell classique.

Dépôt GitHub → erreur contrôlée → commande suggérée → DNS TXT → base64 → reverse shell

Trois couches de séparation entre l’action de l’agent et le payload final. Aucun outil de sécurité ne peut suivre cette chaîne complète.

Pourquoi c’est indétectable

Le génie de l’attaque réside dans son invisibilité :

Composant Ce que voit la sécurité
Code du dépôt Fichiers normaux, pas de code malveillant
DNS Une simple résolution de nom de domaine
Agent IA Une instruction de débogage légitime
Réseau Du trafic DNS normal

“Aucun des trois composants n’est suspect pris individuellement. C’est leur exécution séquentielle par l’agent qui crée la vulnérabilité.” — Mozilla 0DIN

Pire : l’attaquant peut modifier le payload à tout moment en changeant un simple enregistrement DNS — pas besoin de nouveau commit, rien dans le diff Git.

Ce que l’attaquant obtient

Une fois le reverse shell établi, l’attaquant a accès total à la machine de la victime : - Clés API : ANTHROPIC_API_KEY, AWS_SECRET_ACCESS_KEY, GITHUB_TOKEN - Credentials : toutes les variables d’environnement exposées - Accès persistant : installation de clés SSH, backdoors cron - Exfiltration : vol de fichiers de configuration

Les implications pour la sécurité des agents IA

Cette attaque met en lumière un angle mort critique de la sécurité des agents autonomes : 1. Les agents font confiance aux messages d’erreur — un vecteur d’attaque complètement nouveau 2. L’inférence DNS comme canal caché — contourne toutes les solutions de sécurité traditionnelles 3. La séparation des preuves — chaque étape est individuellement innocente

Les chercheurs recommandent : - Ne jamais autoriser un agent à exécuter des commandes suggérées par des messages d’erreur - Bloquer les résolutions DNS pendant les sessions d’agent - Auditer les appels DNS effectués par les outils agentiques

L’agentique change la surface d’attaque

Cette attaque n’est pas un bug de Claude Code. C’est une propriété émergente des systèmes agentiques. Plus nous donnons d’autonomie aux agents, plus la surface d’attaque s’élargit de façon imprévisible. La confiance accordée aux agents — qui lisent, exécutent, interprètent — devient le maillon faible.

Le code n’a plus besoin d’être malveillant pour être dangereux. Il a juste besoin d’être mal interprété.


👉 Votre entreprise utilise-t-elle des agents IA ? Notre diagnostic gratuit vous aide à évaluer les risques et à sécuriser vos déploiements.

Vous avez un projet similaire ?

Obtenez un diagnostic gratuit de votre présence en ligne et des recommandations personnalisées.

Diagnostic Gratuit

Ne partez pas sans votre cadeau !

Téléchargez gratuitement notre guide "Diagnostic Digital" pour découvrir comment améliorer votre présence en ligne.