Victoria - Fotolia
Comment utiliser Shodan pour sécuriser son infrastructure
Apprenez à utiliser le moteur de recherche Shodan pour trouver les failles de sécurité et les vulnérabilités de votre système d’information qui sont exposées au grand jour, sur Internet.
Shodan est un moteur de recherche qui permet de trouver certains types précis de systèmes informatiques, comme des systèmes de contrôle industriel (ICS/Scada), dès lors qu’ils sont accessibles sur Internet.
Shodan peut dès lors être appréhendé comme un outil d’examen de vulnérabilités moderne pour professionnels de la sécurité réseau. Ce moteur de recherche balaie Internet et analyse les entêtes et autres informations renvoyées par les services offerts par les appareils connectés qu’il y rencontre.
En s’appuyant sur ces données, Shodan peut déterminer quel type de système de gestion de bases de données est le plus exposé en ligne, où combien de caméras connectées sont rendues accessibles en ligne à tel endroit, ainsi que leur constructeur et leur modèle. Certains diront qu’un outil tel que Shodan permet aux attaquants de trouver et d’exploiter des vulnérabilités. La vérité est que les professionnels de la sécurité et des réseaux doivent être en mesure d’en voir autant que les attaquants afin de construire des défenses efficaces. Dès lors, eux-aussi peuvent retirer des bénéfices du fait de savoir comment utiliser Shodan, comme un outil de découverte de vulnérabilités.
Comment faire une recherche de base
Avant d’apprendre à utiliser Shodan pour faire de la découverte de vulnérabilités, commençons par une recherche de base. Et cela passe par le champ recherche du site Web. Par exemple, une recherche sur le terme MongoDB permet de faire ressortir plus de 53 000 instances de ce système de gestion de bases de données, dont près de 2 300 en France.
Il est possible d’être plus spécifique, en cherchant par exemple la version 3.4 des serveurs MongoDB, mais aussi une région géographique spécifique ou d’autres attributs. Pour chaque résultat, Shodan présente adresse IP, nom d’hôte, fournisseur d’accès à Internet, date de découverte de l’hôte, son pays, ainsi que les informations de base renvoyées.
Certains noms de bases de données sont là particulièrement explicites : « DB_H4CK3D », ou « WE_HAVE_YOUR_DATA », ou encore « WRITE_ME » trahissent une instance compromise par un attaquant. Une surprise ? Non, car en début d’année, plusieurs dizaines de milliers d’instances MongoDB mal sécurisées ont été prises en otage par des attaquants.
De nombreux détails supplémentaires sont disponibles pour chaque hôte, en cliquant simplement sur son adresse IP : ports ouverts, services correspondants et leurs détails, et même une localisation géographique rapportée sur carte.
Procéder à une recherche avancée
Shodan permet d’aller bien au-delà de la seule recherche de base. Pour procéder à une recherche avancée, il est toutefois nécessaire de créer un compte – gratuit, pour l’offre de base.
Là, de nombreux filtres sont disponibles pour affiner la recherche : « title: », pour cibler un mot-clé présent dans le titre d’une page Web ; « html: », pour trouver un mot-clé présent dans du code HTML complet ; « product: », pour chercher un logiciel spécifique ; « net: », pour limiter la recherche à bloc d’adresses IP précis ; « version: », pour trouver une version précise d’un produit ; « port: », pour limiter la recherche à un ou plusieurs ports spécifiques ; « os: », pour restreindre la recherche à un système d’exploitation ; « country: » ; pour se limiter à un pays ; ou encore « city: », pour centrer la recherche sur une ville.
Par exemple, pour vérifier si une organisation dotée de plusieurs bureaux à Paris n’exécute pas, sur certains sites, une version vulnérable de Jboss, on peut lancer la recherche suivante : jboss 5.0 country:“FR“ city:“paris“. Le moteur de recherche retourne une dizaine de résultats. Cet exemple n’est pas innocent : au printemps 2016, les chercheurs de la division Talos de Cisco ont découvert rien moins que 3,2 millions de serveurs Jboss susceptibles d’être détournés pour distribuer des logiciels malveillants, ou d’être la cible de rançongiciels comme SamSam.
Ces exemples donnent une bonne idée de la manière d’utiliser Shodan pour trouver des vulnérabilités sur son infrastructure. Mais cela va bien au-delà de cela. Des interfaces Web de contrôle de systèmes industriels peuvent être involontairement exposés, de même que des services de prise de contrôle à distance, en ligne de commande ou en déport d’affichage avec VNC, et sans compter les services de partage de fichiers. Autant de chose qu’il convient de contrôler dans l’intérêt de son organisation.