Google recherche des pages, Shodan recherche des dispositifs

La plupart des gens comprennent que les moteurs de recherche vous permettent de trouver des contenus web pertinents en entrant des mots-clés. Ce que fait Shodan est fondamentalement différent, il ne recherche pas des pages, mais les dispositifs connectés à Internet eux-mêmes. Le fonctionnement de Shodan repose sur une analyse continue des adresses IP sur Internet, essayant de se connecter à divers ports et enregistrant les informations de réponse des dispositifs, telles que le type de dispositif, le système d'exploitation utilisé, les services ouverts, et parfois le nom et les informations de localisation du dispositif. Ces données sont organisées dans une base de données consultable, que quiconque peut interroger via le site de Shodan. C'est aussi la raison pour laquelle il est appelé le moteur de recherche des hackers, car il rend la recherche de dispositifs exposés sur le réseau aussi facile que rechercher des données sur Google.

Quels types de dispositifs Shodan peut-il trouver ?

La gamme de dispositifs indexés par Shodan est assez large, incluant des types auxquels l'utilisateur moyen pourrait à peine penser :

  • Caméras de surveillance domestiques et commerciales, dont certaines utilisent encore des mots de passe par défaut ou n'ont pas de protection par authentification
  • Routeurs et équipements réseau domestiques, exposant des informations sur le modèle et la version du firmware
  • Systèmes de contrôle industriel et équipements SCADA, en partie responsables de la gestion de l'énergie, du traitement des eaux ou des installations de fabrication
  • Équipements médicaux, y compris certains dispositifs d'imagerie connectés ou systèmes de surveillance des patients
  • Serveurs web, serveurs de bases de données, parfois incluant des interfaces d'accès publiques dues à des configurations incorrectes
  • Appareils domestiques intelligents et dispositifs IoT, comme les téléviseurs intelligents, les imprimantes et les systèmes de contrôle d'accès

Ces dispositifs apparaissent sur Shodan, généralement non pas parce qu'ils ont été piratés, mais parce qu'ils sont déjà connectés à Internet et n'ont pas été suffisamment protégés contre l'accès. Shodan organise simplement ces informations déjà publiques.

Comment les professionnels de la sécurité utilisent Shodan

Dans un contexte professionnel de sécurité de l'information, Shodan est un outil utilisé pour évaluer la surface d'exposition réseau. Les équipes de sécurité des entreprises l'utilisent pour rechercher la plage d'IP de leur propre organisation, afin de vérifier quels services sont accidentellement exposés sur le réseau externe ou quels équipements utilisent des firmwares obsolètes connus pour avoir des vulnérabilités. Les testeurs de pénétration utilisent également Shodan comme partie d'une collecte d'informations initiale lors d'évaluations de sécurité autorisées, afin de comprendre l'état d'exposition réseau externe de l'organisation ciblée, avant de décider de l'orientation des tests à suivre. Pour les chercheurs, Shodan offre une perspective pour observer l'état de sécurité des objets connectés à l'échelle mondiale. Au cours des dernières années, plusieurs rapports de recherche sur l'état de sécurité des équipements industriels et des dispositifs médicaux ont utilisé les données de Shodan comme base d'analyse.

Infographie expliquant les types de dispositifs réseau que Shodan peut rechercher.

Les utilisateurs ordinaires doivent-ils s'inquiéter de Shodan ?

Si vous avez correctement configuré votre routeur à domicile, mantenue à jour le firmware, et que vous n'avez pas exposé de services inutiles sur le réseau externe, le risque direct que représente Shodan pour vous est relativement limité. Shodan est seulement un outil d'indexation, qui affiche des informations de dispositifs déjà publiques sur le réseau, sans tenter d'intrusion active dans aucun dispositif. Ce qui mérite vraiment attention, c'est que certains dispositifs domestiques, sous leur état par défaut, exposent réellement des informations ou des interfaces d'accès inutiles. Si vous voulez vérifier si vos équipements réseau à la maison apparaissent dans les résultats de recherche de Shodan, vous pouvez le faire en recherchant votre adresse IP externe. Cette adresse IP externe peut être trouvée en recherchant votre adresse IP actuelle sur Google, et ensuite en la recherchant sur Shodan pour voir quelles informations apparaissent. Si vous trouvez que votre dispositif apparaît sur Shodan, et qu'il montre des services ou interfaces qui ne devraient pas être publics, il est conseillé de contacter votre fournisseur de services Internet ou le personnel technique responsable de

Questions fréquentes sur Shodan

Est-il légal d'utiliser Shodan pour rechercher les dispositifs d'autres ?

Dans la plupart des régions, interroger les informations sur les dispositifs publiquement exposés via Shodan n'est pas illégal, car Shodan indexe uniquement des informations publiques qui sont actives en réponse. Mais si vous essayez ensuite d'accéder, de contrôler ou de manipuler ces dispositifs, cela entre dans le domaine de l'accès non autorisé, qui est illégal dans la grande majorité des régions. Shodan est un outil légal dans le contexte de recherche et d'éducation en cybersécurité, mais la manière dont il est utilisé définit ses limites légales.

Quelle est la relation entre Shodan et Google Hacking ?

Google Hacking fait référence à l'utilisation de la syntaxe de recherche avancée de Google pour trouver des informations sensibles accidentellement exposées sur Internet, comme des listes de répertoires ouvertes ou des documents contenant des données de compte. Les deux concepts sont similaires, car ils exploitent les informations publiques recherchables pour découvrir des problèmes de sécurité potentiels, mais Shodan cible les dispositifs réseau, tandis que Google Hacking concerne davantage le contenu web. Dans l'évaluation de la sécurité, ces deux méthodes peuvent parfois être utilisées ensemble.

Quels sont les problèmes de sécurité des dispositifs IoT et quel lien avec Shodan ?

Shodan n'est pas la cause des problèmes de sécurité des dispositifs IoT ; il permet simplement de les observer plus facilement. De nombreux dispositifs IoT sont conçus en privilégiant la facilité d'utilisation plutôt que la sécurité, avec des mots de passe par défaut, des ports ouverts inutiles et un manque de mécanismes de mise à jour, qui sont les véritables problèmes. L'existence de Shodan permet aux chercheurs en sécurité d'évaluer de manière plus systématique l'ampleur de ces problèmes, et rend plus difficile pour les fabricants de dispositifs d'ignorer l'existence de ces failles de sécurité. Le point clé à retenir : Shodan rend la recherche de dispositifs exposés sur Internet accessible, et son existence nous rappelle que tout dispositif connecté à Internet doit être considéré comme une porte d'entrée dont la sécurité doit être gérée proactivement, et non pas simplement un outil qui peut être branché sans plus de considération.