« Tout le succès d’une opération réside dans sa préparation », Sun Tzu. Déjà vraie au VIe siècle av J-C, cette maxime l’est toujours au XXIe siècle. Et les pirates informatiques l’ont bien intégrée à leur stratégie.
Avant de lancer leur attaque, ils vont ainsi répertorier toutes les informations disponibles sur internet concernant leur cible. En effet, la transformation numérique apporte des avantages à une organisation, mais elle rend également de nombreuses informations visibles depuis l’extérieur à qui sait où chercher, ou même simplement regarder. Ces informations aident ensuite les personnes mal intentionnées à adapter leurs attaques à la cible.
Heureusement, cette situation n’est pas une fatalité. Chaque entreprise peut cartographier son empreinte numérique, pour ensuite contrôler et limiter les informations visibles. C’est ce à quoi consiste un audit de reconnaissance.
Déroulement d’un audit de reconnaissance
Contrairement à un test d’intrusion (pentest), les pentesters (experts en sécurité informatique) ne cherchent pas à entrer dans le système d’une organisation lors d’un audit de reconnaissance. Ils scrutent les indices disponibles sur l’entreprise pour trouver les portes d’entrée potentielles.
Il n’y a donc pas de risques d’interférer avec l’activité quotidienne de l’organisation.
Un audit de reconnaissance se divise ainsi en deux parties :
- la reconnaissance sur l’infrastructure : toutes les données techniques sont passées en revue
- la reconnaissance « humaine », où sont recherchées toutes les données laissées par des humains (employés, prestataires, fournisseurs…)
Cette recherche d’informations peut être active ou passive :
- Reconnaissance passive : il n’y aura pas de trafic généré sur l’infrastructure de la cible, il s’agit de trouver par des moteurs de recherche classiques ou spécialisés des données publiques.
- Reconnaissance active : il s’agit d’aller interroger directement la « cible ». Par exemple, les ports d’un serveur peuvent être scannés volontairement pour voir sur quels services ils répondent.
La reconnaissance sur l’infrastructure (ou reconnaissance « technique »)
Les informations techniques concernent tout le périmètre attaquable. Les éléments sont divers et variés. Pour une organisation, il s’agit des noms de domaine possédés, les hébergeurs, les adresses IP, les services ouverts sur les serveurs (notamment les applications web), les technologies de développement utilisées, etc.
Il ne faut pas négliger des éléments plus anciens, un peu oubliés, qui sont particulièrement susceptibles d’être vulnérables ou de révéler des informations : versions de développement, technologies utilisées, parties de sites en théorie à accès privés qui se retrouvent accessibles, données de test restées visibles…
La reconnaissance « humaine »
Toutes informations concernant des personnes et laissées par des personnes sont intéressantes, particulièrement pour construire des attaques d’ingénierie sociale.
Les données recherchées commencent par les adresses mail professionnelles, les noms, postes et numéros de téléphone de personnes de l’organisation auditée.
Ensuite, des informations données par les personnes elles-mêmes sont examinées : sur leurs réseaux sociaux, sur des forums, par le biais de CV publics, etc. Par exemple, une personne technique peut demander des conseils sur un forum pour mettre en place une communication avec un serveur. Cela renseigne potentiellement sur le type de serveur que l’entreprise utilise.
Lors de la recherche, des données peuvent être visées en particulier, comme des mots de passe, des fichiers confidentiels stockés de manière un peu hasardeuse, etc. Les fuites de données peuvent également être utilisées pour trouver des adresses mail et mots de passe.
Sécuriser son empreinte numérique
Garder le contrôle des données exposées sur internet se complique au fur et à mesure de la digitalisation des organisations. Entre leur présence en ligne officielle, l’utilisation d’outils et/ou de services web au quotidien ou encore leur activité qui se digitalise, les domaines où les entreprises laissent des traces augmentent. Il est délicat de garder le contrôle sur tous ces éléments, en particulier dans un environnement en constante évolution. C’est pourquoi nous proposons un audit dédié à la reconnaissance, pour vous aider à déterminer et contrôler votre empreinte numérique.
L’inventaire des traces en ligne d’une organisation aide à savoir précisément ce qui est exposé sur le web. Cette cartographie permet tout d’abord de supprimer les informations et éléments qui ne sont plus utiles ou qui, initialement, ne devaient même pas être rendus publics. Les autres informations trouvées peuvent ensuite être dissimulées, et/ou leur accès limité.
Enfin, l’organisation peut sensibiliser son effectif à la protection de leurs données personnelles tout comme des données de l’entreprise.