Phase 1 - La reconnaissance

La reconnaissance est la première étape dans la planification d’une cyberattaque. Cette phase consiste pour l’attaquant à collecter un maximum d’informations sur la cible, souvent sans jamais interagir directement avec elle. L’objectif est de créer un profil aussi complet que possible pour faciliter les prochaines étapes de l’attaque.

Qu’est-ce que la phase de Reconnaissance ?

La reconnaissance (recon en anglais), aussi appelée phase de préparation, est l’étape durant laquelle l’attaquant recueille des informations sur la cible de manière passive et active. Cela inclut l’évaluation des domaines, des services en ligne, des adresses IP, et même des données personnelles des employés. Cette collecte permet à l’attaquant de déterminer les points faibles potentiels de la cible et de concevoir des stratégies d’attaque adaptées.

Les Deux Types de Reconnaissance

1. Reconnaissance Passive : L’attaquant observe la cible sans y interagir directement. Cela comprend la collecte d’informations à partir de sources publiques, telles que les moteurs de recherche, les réseaux sociaux et les bases de données publiques. Cette approche permet de limiter les risques de détection tout en accumulant des données précieuses sur la cible.

2. Reconnaissance Active : L’attaquant interagit directement avec la cible pour obtenir des informations plus précises. Cela inclut l’envoi de requêtes pour analyser des réponses techniques comme les scans de ports ou l’analyse de services. Bien que plus risquée, cette approche offre des données de meilleure qualité.

Sources d’Informations Utilisées pour la Reconnaissance

Les attaquants exploitent diverses sources pour obtenir un maximum d’informations sur leur cible. Ces sources comprennent :

• Moteurs de recherche : Utilisation de Google, Bing et autres pour découvrir des pages publiques contenant des informations sur la cible.
• Réseaux sociaux : LinkedIn, Facebook, Twitter et autres permettent de recueillir des détails sur les employés, leur rôle, et des informations internes sur l’entreprise.
• Bases de données publiques : Les services WHOIS et les bases de données sur les fuites de données contiennent des informations précieuses.
• Forums et sites communautaires : Des discussions sur des forums comme Reddit peuvent révéler des détails techniques sur l’infrastructure de la cible.
• Sites spécialisés et moteurs de recherche IoT : Shodan et Censys cartographient les dispositifs connectés et identifient les services exposés.
• Documents publics : Rapports annuels, documents PDF, présentations PowerPoint contenant des métadonnées révélatrices.

Utilisation des Outils de Reconnaissance

L’utilisation des outils de reconnaissance est cruciale pour l’analyse préalable d’une cible. Ces outils permettent de collecter des informations pertinentes pour la planification de cyberattaques potentielles. Bien que ces outils soient développés à des fins légitimes, tels que les audits de sécurité ou la recherche OSINT (Open Source Intelligence), ils peuvent également être utilisés à des fins malveillantes. Voici un tour d’horizon sur l’utilisation des principaux outils de reconnaissance et leur rôle dans la collecte d’informations.

Outils de collecte et d’analyse généraliste

• Maltego : Un outil puissant de visualisation et de recoupement des données permettant de créer des graphiques complexes reliant différentes entités (personnes, organisations, adresses IP, etc.).
• SpiderFoot : Un automate de reconnaissance qui explore une large gamme de sources pour recueillir des données sur la cible, incluant les noms de domaine, les adresses IP, et les informations associées.
• Recon-ng : Un framework de reconnaissance modulable qui permet de réaliser des collectes d’informations automatisées avec des modules adaptés à divers objectifs (ex. : collecte de sous-domaines, recherche WHOIS).
• Datasploit : Un outil OSINT pour l’agrégation et l’analyse de données provenant de sources multiples, facilitant la mise en évidence des points faibles.

Outils de recherche de sous-domaines et de cartographie des réseaux

• Amass : Utilisé pour effectuer des recherches profondes et découvrir des sous-domaines et des infrastructures associées à un domaine donné.
• theHarvester : Un outil de collecte d’informations qui recense les sous-domaines, les adresses IP, et les e-mails à partir de diverses sources publiques (ex. : moteurs de recherche, certificats SSL).

Outils de recherche d’appareils et services connectés

• Shodan : Le moteur de recherche des objets connectés permettant de trouver des dispositifs exposés sur Internet, tels que des caméras de surveillance, des routeurs et d’autres appareils IoT.
• Censys : Une plateforme similaire à Shodan, qui indexe et analyse les actifs exposés sur Internet, fournissant des informations détaillées sur les services et protocoles utilisés.

Scraping et collecte de données web

• Photon : Un outil de scraping web rapide, qui extrait les liens, les e-mails et autres données importantes d’un site cible sans interaction directe.
• Google Dorks : Une méthode d’utilisation avancée des moteurs de recherche pour trouver des informations sensibles cachées dans des pages web.

Recherche sur les réseaux sociaux

• Social-Analyzer : Un outil qui permet de rechercher des comptes et des activités d’utilisateurs sur plusieurs plateformes de réseaux sociaux afin de recueillir des informations sur une cible.
• Sherlock : Un programme qui recherche des noms d’utilisateur sur plusieurs centaines de plateformes pour vérifier la présence d’un profil particulier.

Analyse de métadonnées

• Metagoofil : Un utilitaire qui extrait les métadonnées des documents publiés en ligne (PDF, DOCX, etc.), révélant des informations telles que les auteurs, les versions de logiciels et les chemins d’accès.
• FOCA : Un autre outil d’analyse de métadonnées qui se concentre sur l’extraction d’informations cachées dans des fichiers de type Office et PDF.

Frameworks et portails OSINT

• OSINT Framework : Un portail de ressources et d’outils OSINT permettant de naviguer dans diverses méthodes et applications de collecte d’informations.

Ces outils, lorsqu’ils sont combinés à des techniques de recoupement des données et à des analyses stratégiques, permettent à l’attaquant de dresser un portrait précis de la cible et de préparer les prochaines phases de l’attaque.

Quels sont les données collectées ?

La collecte de données vise à obtenir un ensemble d’informations exploitables pour comprendre et analyser une cible. Voici un aperçu des types de données souvent collectées lors de la phase de reconnaissance :

Données Personnelles et Profils

• Informations d’identification : Noms, prénoms, âges, adresses e-mail et numéros de téléphone.
• Données de localisation : Historique de localisation, adresses personnelles et lieux fréquemment visités.
• Profils professionnels : Expérience de travail, compétences, réseaux de contacts et affiliations professionnelles.

Données Techniques

• Topologie du réseau : Cartographie des infrastructures réseau incluant les routeurs, commutateurs et pare-feux.
• Adresses IP et plages d’adresses : Attribution des adresses IP et segmentation du réseau.
• Ports et services ouverts : Identification des ports ouverts et des services associés (ex. : serveurs web, bases de données).
• Systèmes d’exploitation et logiciels : Versions des systèmes d’exploitation, applications utilisées, et mises à jour manquantes.
• Configurations matérielles et logicielles : Détails des appareils utilisés, configurations réseau et versions de firmware.

Données sur les Appareils IoT

• Périphériques connectés : Informations sur les imprimantes, caméras de surveillance, capteurs et autres appareils connectés au réseau.
• Configurations et vulnérabilités : Détails sur les configurations par défaut, versions de firmware et vulnérabilités connues.
• Accès et interfaces : Interfaces web et protocoles utilisés pour l’accès à distance (ex. : Telnet, SSH).

Données Issues des Documents et Métadonnées

• Fichiers en ligne : Rapports, documents PDF, et présentations contenant des métadonnées révélant les auteurs, les chemins d’accès et les logiciels utilisés.
• Données de journalisation : Journaux d’activité pouvant inclure des informations sur les connexions et les opérations des utilisateurs.

Données des Sites Web et Bases de Données Publiques

• Enregistrements DNS et WHOIS : Informations sur les domaines, les propriétaires, et les configurations DNS.
• Données d’exposition : Résultats de moteurs de recherche spécifiques (ex. : Google Dorks) révélant des pages non sécurisées ou mal configurées.
• Bases de données compromises : Recherche d’informations sur les violations de données passées et l’accès à des données sensibles.

Données Collectées lors d’Événements Publics

• Informations de séminaires et conférences : Détails partagés publiquement lors de présentations, questions-réponses et discussions.
• Connectivité et dispositifs : Analyse des dispositifs connectés aux réseaux publics pendant les événements.

Ces informations, une fois collectées et analysées, permettent de créer un profil détaillé de la cible et d’identifier les points de faiblesse exploitables. La collecte de ces données aide les attaquants à planifier des attaques précises et à contourner les défenses de sécurité.

Techniques de Recoupement des Informations pour les Rendre Exploitables

Une fois les informations collectées, l’attaquant doit les recouper pour les rendre exploitables. Voici des techniques courantes :

• Cartographie des relations : Grâce à des outils comme Maltego, l’attaquant peut établir des liens entre des entités et identifier les dépendances cachées. Cela permet de repérer les points d’entrée possibles.
• Analyse des métadonnées : Les métadonnées des documents (fichiers PDF, Word, etc.) sont extraites via des outils comme FOCA et Metagoofil. Ces informations incluent souvent les versions de logiciels utilisés, les noms d’utilisateurs et d’autres détails internes.
• Cross-référencement des données : L’attaquant compare les données collectées à travers différentes sources pour identifier des schémas, des comptes communs et des infrastructures partagées.
• Pivotement : Utilisation des informations découvertes, telles qu’une adresse e-mail, pour rechercher des comptes associés sur d’autres plateformes ou explorer des domaines liés.

Comment se protéger contre les techniques de reconnaissance ?

La phase de reconnaissance est un moment important pour les attaquants, car elle leur permet de collecter des informations précieuses sur leur cible sans interagir directement avec elle. Pour se protéger efficacement, les organisations doivent adopter diverses stratégies et outils afin de limiter la quantité d’informations accessibles publiquement. Voici quelques solutions pour réduire l’exposition aux techniques de reconnaissance :

Réduction des informations accessibles publiquement

Il est essentiel de passer en revue les informations publiées sur les sites web officiels, les profils des réseaux sociaux, les communiqués de presse et les bases de données publiques. Les entreprises doivent :

• Limiter les détails techniques présents sur leurs sites (ex. : versions des logiciels et noms des serveurs).
• Réduire le partage excessif de données sur les réseaux sociaux par les employés.

Configuration et gestion des DNS

Les enregistrements DNS peuvent révéler de précieuses informations sur l’infrastructure d’une organisation. Pour minimiser les risques :

• Masquer les enregistrements DNS non essentiels.
• Utiliser des fournisseurs DNS qui offrent des services de protection avancée.
• Mettre en place un service de surveillance des modifications DNS.

Utilisation de services de protection de la vie privée

Pour limiter les recherches sur les informations liées à un domaine (ex. : WHOIS), il est recommandé d’activer les services de confidentialité proposés par les registraires de noms de domaine.

Sécurité des e-mails

Les adresses e-mail professionnelles sont souvent des points de départ pour des attaques ciblées. Pour réduire leur exposition :

• Utiliser des adresses génériques (ex. : contact@domain.com) pour les interactions publiques.
• Limiter l’utilisation des adresses e-mails directes sur le site web.

Contrôle des métadonnées

Les documents en ligne contiennent souvent des métadonnées avec des informations telles que les auteurs, les versions de logiciel, et les chemins d’accès. Il est crucial de :

• Analyser et nettoyer les métadonnées avant de publier des documents.
• Utiliser des outils tels que ExifTool ou MAT pour retirer ces informations.

Surveillance et veille continue

La mise en place d’un système de veille permet d’identifier les nouvelles informations publiées sur l’organisation. Les services de surveillance de marque et de cybersécurité aident à :

• Détecter et réagir aux publications potentiellement sensibles.
• Alerter sur les changements de profil numérique.

Formation et sensibilisation des employés

Les employés sont souvent les premiers vecteurs involontaires de fuites d’informations. Pour éviter cela :

• Former le personnel aux bonnes pratiques de publication en ligne.
• Sensibiliser aux dangers de la divulgation excessive d’informations sur les réseaux sociaux.

Conclusion

Comprendre la phase de reconnaissance est essentiel pour se défendre contre les cyberattaques. Cette première étape, bien maîtrisée, offre aux attaquants une vue d’ensemble de la cible et leur permet de planifier des attaques plus ciblées. Les professionnels de la sécurité doivent rester vigilants, surveiller les activités suspectes et réduire la surface d’attaque en limitant les informations sensibles disponibles publiquement.

Astuce

Je vous invite à tester certains de ces outils, vous comprendrez sans doute mieux pourquoi vous pouvez être en danger si vous êtes trop laxiste dans le domaine de la sécurité. Tout en restant dans la légalité bien sûr.

Par exemple les Google Dorks que j’ai documenté.

Resssources

• Maltego : Site officiel ↗
• SpiderFoot : Dépôt GitHub ↗
• Recon-ng : Dépôt GitHub ↗
• Datasploit : Dépôt GitHub ↗
• Amass : Dépôt GitHub ↗
• theHarvester : Dépôt GitHub ↗
• Shodan : Site officiel ↗
• Censys : Site officiel ↗
• Photon : Dépôt GitHub ↗
• Google Dorks : La liste des Dorks ↗
• Social-Analyzer : Dépôt GitHub ↗
• Sherlock : Dépôt GitHub ↗
• Metagoofil : Dépôt GitHub ↗
• FOCA : Dépôt GitHub ↗
• OSINT Framework : Site officiel ↗