Reconnaissance passive : comprendre la première phase d'un test de pénétration
En cybersécurité offensive, la reconnaissance – ou recon – représente la première étape d'un test d'intrusion.
A l'image du repérage militaire avant une offensive, cette phase permet d'obtenir des informations critiques sur une cible, en particulier, assez d'information pour déterminer le cheminement des tests, les cibles ou encore les vecteurs d'attaque. Ces informations sont ensuite exploitées selon la mission :
- Liste des employés ainsi que leurs fonctions
- Fuites de mot de passes
- Liste des domaines, machines, services et technologies utilisées
- Données géographiques et comportementales/habitudes
Ces informations permettent à un attaquant de :
- Découvrir des domaines, machines ou services potentiellement oubliés et vulnérables
- Obtenir un accès sur l'infrastructure ou sur un compte ayant des informations internes
- Faciliter l'obtention d'un accès dans les locaux pour placer un implant dans le réseau, dans le contexte d'une intrusion physique ou un scénario Red-Team
Cette étape de reconnaissance, lorsque réalisée avec soin et attention, va drastiquement améliorer le résultat des pentests qui se déroulent dans un scénario boite noire.
Reconnaissance passive
La reconnaissance passive consiste à collecter des informations accessibles publiquement sans interagir directement avec la cible. Cette recherche est basée sur la méthodologie d'OSINT, c'est-à-dire la récupération d'informations publiques disponibles sur des sources externes à l'entreprise. Les 5 axes d'investigations les plus connus sont listés ci-dessous.
Recherche sur les Réseaux Sociaux
Chaque employé peut posséder des comptes sur les réseaux sociaux associés directement ou indirectement à l'entreprise. On parle généralement de comptes LinkedIn, GitHub, etc.
Depuis la page LinkedIn d'une entreprise, un pentesteur est en mesure de récupérer tous les employés se déclarant comme travaillant dans l'entreprise. Cette liste contient 4 informations :
- Un nom, prénom et poste occupé (dans une majorité des cas)
- Ses activités extra-professionnelles, par exemple, pour une campagne de phishing
- Un email professionel ou personnel (dans une minorité des cas)
- Un lien vers un blog, un CV, ou un site personnel (dans une minorité des cas)
La première information est celle qui est le plus souvent exploitée. On connaît généralement le format d'email d'une entreprise (que ce soit via le site vitrine ou une ancienne fuite de données), et à partir du nom et prénom, on peut, dans la majorité des cas, générer un potentiel email.
John Doe => john.doe@example.com
Cette liste permet généralement de cibler les recherches de fuites ou de réaliser des attaques classiques comme une attaque de brute force sur un formulaire de connexion.
Recherche de fuites de données
Dans la continuité de la reconnaissance sur les réseaux sociaux, un attaquant va généralement réaliser une recherche de fuites de données. Cela va généralement aboutir à des centaines d'identifiants et mots de passes, mais une très faible minorité est encore valide.
Cependant, il arrive parfois qu'un employé ait installé un malware type "infostealer", un programme qui récupère tous les mots de passes d'une machine avant de disparaître. Ces données hautement qualitatives donnent généralement un ou plusieurs comptes valides.
Ces malwares récupèrent parfois des données professionnelles, à minima, les URLs utilisées en interne ; ce qui permet possiblement aux attaquants d'identifier des cibles difficiles à trouver du point de vue d'un attaquant externe.
Certificate Transparency
Les enregistrements DNS (Domain Name System) jouent un rôle essentiel dans la résolution des noms de domaine en adresses IP. Interroger les enregistrements DNS permet d'obtenir des informations techniques précieuses sans jamais entrer en contact direct avec les serveurs de l'organisation cible. Cette technique n'est cependant pas efficace si les enregistrements sont privés et que le serveur DNS interne est correctement configuré (ce qui est souvent le cas lors de nos pentests).
La méthode qui porte le plus de résultats est : la gestion transparente des certificats émis (Certificate Transparency). Les domaines et les données de tous les certificats émis par une entité reconnue sont publiques. Ainsi, il est possible de voir tous les domaines créés par une entreprise à condition que ceux-ci soient associés à un certificat SSL/TLS reconnu.
Cependant, dans certains cas, les clients utilisent un seul certificat pour tous leurs domaines : on parle de wildcard certificate comme "*.example.com" (qui couvre tous les sous-domaines de example.com). Dans ce cas, il est très difficile, de manière passive, de trouver tous les sous-domaines.
Google Dorks
Les Google Dorks sont des requêtes spécifiques permettant d'extraire de Google des contenus sensibles. Ce type de recherche avancée permet de cibler certains formats de fichiers, des mots-clés précis dans les URLs ou dans le corps d'une page web.
Ainsi, il est parfois possible de retrouver sur Google des documents confidentiels (comptes rendus, listings internes, configurations de serveurs...), des interfaces d'administration oubliées, ou encore des fichiers caractéristiques d'une vulnérabilité connue.
Offres d'emploi
Les offres d'emploi sont un bon vecteur pour découvrir les technologies utilisées par une entreprise, en particulier pour prioriser nos recherches et nos investigations.
De par notre expérience terrain, en moyenne, environ 1% des salariés d'une entreprise postent un lien vers un CV ou directement leur CV sur leur LinkedIn. En général, on ne trouve que les CVs de personnes récemment recrutées, voire de stagiaires et alternants. Il arrive parfois que la wayback machine, un système d'archivage du web, archive certains CVs, cependant c'est un processus manuel et qui n'est donc pas capable de couvrir toutes les pages.
Un attaquant à plutôt tendance à se baser sur les offres d'emploi publiées sur le site de l'entreprise ou sur LinkedIn qui sont souvent riches en détails et plus facilement récupérables : elles mentionnent souvent les stacks technologiques, les outils internes, les environnements serveurs ou les méthodologies de travail.
Conclusion : la reconnaissance passive, une approche discrète mais limitée
Si la reconnaissance passive permet d'obtenir un grand nombre d'informations sans éveiller de soupçons, elle présente aussi certaines limites. En effet, la reconnaissance passive repose uniquement sur des données publiques. Or, celles-ci peuvent être obsolètes ou incomplètes. En outre, certains éléments clés d'un système restent invisibles sans une intéraction directe avec la cible.
C'est pourquoi, après une phase approfondie de reconnaissance passive, le pentester peut décider d'aller plus loin avec une reconnaissance active, qui permet d'interroger directement l'infrastructure cible pour en tirer des données plus précises. Cela fera l'objet d'un second article.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Anas, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Henri, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lucas, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Quentin, QuentinR, Sébastien, Tristan, Yann, et bonne visite !