La reconnaissance est la première phase d'une cyberattaque : l'attaquant y collecte un maximum d'informations sur sa cible, le plus souvent sans jamais la toucher. Il assemble noms de domaines, adresses IP, services exposés, profils d'employés et documents publics pour dresser un portrait exploitable et repérer les points faibles. Cette page vous explique ce que couvre la reconnaissance passive et active, quelles sources et quels outils OSINT sont employés, et surtout comment réduire votre exposition. Elle s'adresse aux personnes qui découvrent la cybersécurité offensive, sans autre prérequis que la notion de cyberattaque.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »La reconnaissance décide souvent de la suite : mieux l'attaquant connaît sa cible, plus les phases suivantes sont efficaces. Concrètement, vous saurez :
- Distinguer la reconnaissance passive (sans interaction) de la reconnaissance active (scans, requêtes directes), et leurs risques de détection.
- Identifier les sources OSINT exploitées : moteurs de recherche, réseaux sociaux, WHOIS, DNS, Shodan, métadonnées de documents.
- Reconnaître les grands outils de collecte (Maltego, theHarvester, Shodan, Amass) et ce qu'ils révèlent.
- Réduire votre exposition en agissant sur le DNS, les métadonnées, le WHOIS et la sensibilisation des équipes.
- Situer cette phase dans la tactique ATT&CK Reconnaissance (TA0043), et la relier au modèle de menaces SOCLE qui rattache chaque vecteur à ses parades.
Qu'est-ce que la phase de reconnaissance
Section intitulée « Qu'est-ce que la phase de reconnaissance »La reconnaissance (recon en anglais), parfois appelée phase de préparation, est l'étape durant laquelle l'attaquant recueille des informations sur sa cible. Il cartographie les domaines, les services en ligne, les plages d'adresses IP et jusqu'aux données personnelles des employés. Cette collecte lui sert à déterminer les points faibles et à concevoir une stratégie d'attaque adaptée.
L'analogie utile est celle du cambrioleur qui repère les lieux avant d'agir : il observe les horaires, note les fenêtres mal fermées, identifie les habitudes des occupants. Il n'entre pas encore, mais il sait déjà par où passer. La reconnaissance informatique joue exactement ce rôle : préparer le terrain sans déclencher l'alarme.
Cette phase alimente directement la surface d'attaque que l'attaquant va cibler. Chaque information publique qui traîne, sous-domaine oublié, serveur exposé, adresse e-mail publiée, agrandit cette surface et lui offre un point d'entrée supplémentaire.
Reconnaissance passive et reconnaissance active
Section intitulée « Reconnaissance passive et reconnaissance active »La reconnaissance se décline en deux approches qui n'exposent pas l'attaquant au même risque de détection.
La reconnaissance passive consiste à observer la cible sans jamais interagir avec ses systèmes. L'attaquant se contente de sources publiques : moteurs de recherche, réseaux sociaux, bases de données ouvertes, registres WHOIS. Comme aucun paquet n'atteint l'infrastructure de la cible, cette approche est quasiment indétectable, mais les informations restent parfois superficielles ou datées.
La reconnaissance active implique au contraire une interaction directe : scans de ports, interrogation de services, résolution de sous-domaines. Elle produit des données bien plus précises (versions de logiciels, services réellement ouverts), au prix d'un risque de détection élevé : ces requêtes laissent des traces dans les journaux et peuvent déclencher une alerte. Un attaquant prudent commence toujours par le passif, puis passe à l'actif uniquement quand c'est nécessaire.
Les sources d'informations exploitées
Section intitulée « Les sources d'informations exploitées »L'attaquant croise de nombreuses sources pour reconstituer le puzzle. Aucune ne suffit seule ; c'est leur recoupement qui rend l'information dangereuse.
- Moteurs de recherche : Google et Bing indexent des pages, fichiers et interfaces qui n'auraient jamais dû être publics. Les Google Dorks, requêtes avancées ciblant des types de fichiers ou des chemins précis, révèlent des documents sensibles mal protégés.
- Réseaux sociaux : LinkedIn, Facebook ou X livrent des noms d'employés, leurs rôles, l'organigramme, parfois des captures d'écran d'outils internes. C'est une mine d'or pour préparer du hameçonnage ciblé.
- Registres WHOIS et enregistrements DNS : ils exposent les propriétaires de domaines, les contacts techniques, les serveurs de messagerie et l'architecture DNS.
- Moteurs de recherche d'objets connectés : Shodan et Censys cartographient les services exposés sur Internet (caméras, routeurs, bases de données, panneaux d'administration) et affichent leurs versions.
- Documents publics : rapports, PDF et présentations publiés en ligne embarquent des métadonnées trahissant auteurs, versions de logiciels et chemins internes.
- Fuites de données : les bases de mots de passe compromis permettent de retrouver des identifiants réutilisés par les employés.
Les outils de reconnaissance
Section intitulée « Les outils de reconnaissance »Ces outils sont conçus pour l'OSINT (Open Source Intelligence, le renseignement en sources ouvertes) et pour les audits de sécurité légitimes. Ce sont exactement les mêmes qu'utilise un attaquant : les connaître aide à mesurer sa propre exposition. En voici un tour d'horizon par usage.
Collecte et recoupement généraliste. Maltego visualise sous forme de graphe les liens entre personnes, organisations, domaines et adresses IP ; il rend visibles des dépendances qu'on ne verrait pas à l'oeil nu. SpiderFoot et Recon-ng automatisent l'interrogation de dizaines de sources pour agréger domaines, IP et adresses e-mail associés à une cible.
Sous-domaines et cartographie réseau. Amass découvre en profondeur les sous-domaines et l'infrastructure rattachée à un domaine. theHarvester recense e-mails, sous-domaines et hôtes à partir des moteurs de recherche et des certificats TLS ; c'est souvent le premier réflexe d'un pentester.
Appareils et services exposés. Shodan et Censys listent les équipements accessibles depuis Internet et leurs services : un serveur de base de données ouvert au monde entier y ressort en quelques secondes.
Métadonnées de documents. Metagoofil et FOCA extraient les métadonnées des PDF et fichiers Office publiés, révélant noms d'utilisateurs, versions logicielles et chemins d'accès internes.
Quelles données sont collectées
Section intitulée « Quelles données sont collectées »L'objectif final est de constituer un profil exploitable de la cible. Les données recherchées se répartissent en quelques grandes familles.
Côté humain, l'attaquant vise noms, adresses e-mail, numéros de téléphone, rôles et relations professionnelles. Ces éléments servent à personnaliser une attaque de hameçonnage crédible.
Côté technique, il cherche la topologie du réseau, les plages d'adresses IP, les ports et services ouverts, les systèmes d'exploitation et leurs versions. Une version obsolète repérée ici oriente directement le choix des exploits.
Côté exposition, il exploite les enregistrements DNS et WHOIS, les résultats de Google Dorks pointant vers des pages mal configurées, et les fuites de données passées. Les appareils IoT mal configurés (imprimantes, caméras, capteurs) complètent le tableau, souvent avec des identifiants par défaut jamais changés.
Une fois rassemblées, ces données sont recoupées : Maltego établit les relations, l'analyse de métadonnées trahit les outils internes, et le pivotement consiste à partir d'une adresse e-mail découverte pour retrouver d'autres comptes et domaines liés. C'est ce travail de recoupement qui transforme des miettes publiques en carte d'attaque.
Comment réduire votre exposition
Section intitulée « Comment réduire votre exposition »La reconnaissance se nourrit de ce que vous laissez traîner. On ne l'empêche pas totalement, mais on réduit fortement la matière disponible. Voici les leviers les plus efficaces.
Limiter les informations publiques. Passez en revue ce que vos sites, communiqués et profils exposent : versions de logiciels, noms de serveurs, détails d'architecture n'ont rien à faire en public. Sensibilisez les équipes au sur-partage sur les réseaux sociaux, où une simple capture d'écran peut trahir un outil interne.
Maîtriser le DNS. Les enregistrements DNS dessinent votre infrastructure. Supprimez les entrées non essentielles, évitez les noms d'hôtes trop parlants (prod-db-backup), et surveillez les modifications pour repérer un enregistrement oublié ou détourné.
Activer la confidentialité WHOIS. La plupart des registraires proposent un service qui masque les coordonnées du propriétaire du domaine. Activez-le pour retirer contacts et adresses des recherches WHOIS publiques.
Nettoyer les métadonnées. Avant de publier un document, retirez ses métadonnées avec un outil dédié comme ExifTool ou MAT. Le service CyberChef aide aussi à inspecter le contenu caché d'un fichier avant diffusion. Vous évitez ainsi de révéler auteurs, versions et chemins internes.
Protéger les adresses e-mail. Privilégiez des adresses génériques (contact@) pour les échanges publics et limitez la publication d'adresses nominatives sur le site. Moins d'adresses exposées, c'est moins de cibles pour le hameçonnage.
Surveiller et sensibiliser. Mettez en place une veille sur votre empreinte numérique pour détecter les nouvelles publications sensibles. Et formez les employés : ils restent le premier vecteur involontaire de fuite d'information.
À retenir
Section intitulée « À retenir »-
La reconnaissance est la première phase d'une attaque : elle conditionne l'efficacité de tout ce qui suit.
-
Deux approches, la passive (sans interaction, quasi indétectable) et l'active (scans et requêtes, plus précise mais traçable).
-
Les sources sont nombreuses : moteurs de recherche, réseaux sociaux, WHOIS, DNS, Shodan, documents et leurs métadonnées.
-
Le danger vient du recoupement : des informations anodines, croisées entre elles, dessinent une carte d'attaque exploitable.
-
Réduire l'exposition est la vraie parade : moins de données publiques, c'est une surface d'attaque plus petite.
-
Les employés sont le maillon clé : la sensibilisation compte autant que les contrôles techniques.
-
Cette phase correspond à la tactique ATT&CK Reconnaissance (TA0043) ; le modèle de menaces SOCLE rattache ce vecteur aux exigences qui le neutralisent.