NicoElNino - stock.adobe.com

Exposition en ligne : Shodan joue un peu plus la carte de la prévention

L’incontournable moteur de recherche spécialisé dans les services exposés sur Internet vient d’ouvrir un nouveau service dédié à cette surveillance. Un complément bienvenu d’autres solutions.

Fin 2017, Trend Micro dressait, avec Shodan, un état des lieux de l’exposition, sur Internet, de pays et de grandes villes d’Europe. Incomplète, la photographie n’en était pas moins révélatrice et, surtout, préoccupante.

Shodan représente aujourd’hui l’un des composants incontournables d’une recherche d’informations en sources ouvertes sur les vulnérabilités d’une entreprise. Les attaquants peuvent s’en servir, certes, mais c’est aussi un outil précieux pour les équipes chargées de prévenir les attaques.

Les experts pourront le comparer à une sorte de nmap industrialisé et à grande échelle : ce logiciel permet de parcourir un réseau IP pour en découvrir les hôtes ainsi que les services qu’ils exposent. Mais alors que nmap s’utilise plutôt de façon ciblée, en étant connecté au réseau considéré, Shodan ratisse large. Il s’intéresse à tous les systèmes accessibles sur Internet, en indexant les résultats pour en permettre une consultation facile, par n’importe quel béotien.

Mais jusqu’ici, l’utilisation de Shodan pour surveiller l’exposition en ligne de son organisation nécessitait une démarche active. Pour apporter plus de continuité à la surveillance, Shodan vient d’ouvrir un nouveau service, dit Monitor, gratuit pour ses clients existants. Il suffit d’indiquer des adresses IP ou plages d’adresses à surveiller et de sélectionner des déclencheurs, à savoir : des observations qui provoqueront l’émission automatique d’alertes.

Dans le lot, il est possible de choisir l’exposition de systèmes de contrôle industriel (ICS/Scada), la présence de services utilisés à des fins malicieuses, celle de services qui n’ont pas vocation à être exposés en ligne, de bases de données ouvertes à tous et à n’importe qui, d’objets connectés trop bavards, de systèmes de scanning Internet, ou encore de certificats SSL arrivés à expiration.

Avec ce nouveau services, Shodan ne vient pas concurrencer des outils comme Patrowl ou Weakspot, qui permettent, selon différents angles, d’étudier son exposition en ligne, mais plutôt les compléter, en offrant un système d’alerte lorsque cette exposition change et, surtout, lorsque ce changement peut s’avérer préjudiciable à l’organisation.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)