Téléchargé parYounessABOUQORA
PPTX, PDF34 vues

Reconnaissance et Scanning des vulnerabilites .pptx

Reconnaissance et Scanning

Intégrer la présentation

Télécharger pour lire hors ligne
Reconnaissance et Scanning 1
Objectifs :  Découvrir les techniques de reconnaissance  Explorer les hôtes et services  Scanner des ports et vulnérabilités  Analyser le trafic réseau 2
Sommaire 1. Introduction à la reconnaissance et au scanning 2. Historique et évolution des techniques de reconnaissance 3. Contexte et enjeux 4. Concepts et méthodologie de reconnaissance 5. Techniques de base de scanning 6. Panorama des outils 7. Mise en pratique (TPs) 8. Limites et détection 9. Conclusion et perspectives 3
Reconnaissance ? ► Utilisation d’une combinaison d’outils et de techniques pour prendre une quantité inconnue d’informations et la réduire à une plage spécifique de noms de domaine, de blocs de réseau et d’adresses IP individuelles de systèmes directement connectés à Internet. ► Reconnaissance à faible technologie ► Rechercher sur le Web ► Utiliser les moteurs de recherche ► Bases de données Whois ► Système de noms de domaine 4
Contexte et enjeux: Importance de la collecte d’informations pour préparer l’attaque ► Phase critique du pentest : prépare le terrain pour toutes les autres étapes. ► Plus l’information est riche, plus l’attaque est ciblée et efficace. ► Identifier les surfaces d’attaque (IP, domaines, sous-domaines, services exposés). ► Déterminer les technologies et versions (CMS, serveurs web, OS, frameworks). ► Révéler des failles potentielles (comptes utilisateurs, fuites de données publiques). ► Comprendre l’environnement cible avant d’exploiter. ► Les attaquants malveillants utilisent les mêmes techniques → menace réelle. ► Négligence dans cette étape = pentest incomplet. 5
Contexte et enjeux: Risques légaux et éthiques liés à la reconnaissance ► Même si elle peut sembler « passive », elle peut déjà avoir des implications juridiques. ► Certaines actions de reconnaissance sont illégales sans autorisation (scan de ports, fingerprinting réseau, exploitation d’API). ► La législation varie selon les pays, mais la règle générale : tout test doit être contractuellement autorisé (ex. lettre de mission). ► Aspects éthiques : Respecter la vie privée (ex. collecte de données personnelles sur employés). ► Risques : Poursuites judiciaires en cas d’action sans autorisation. ► Exemple : lancer un scan massif de ports ou tenter un brute-force sur un service exposé sans contrat. 6
Contexte et enjeux: Exemples d’incidents où la reconnaissance a été déterminante ► Attaque contre Equifax (2017): ► Les attaquants ont recherché les systèmes publics d’Equifax vulnérables. ► La reconnaissance leur a permis d’identifier un serveur Apache Struts non patché exposé sur Internet. ► Vol des données personnelles de 147 millions de personnes. ► SolarWinds (2020): ► Les attaquants ont mené une reconnaissance très avancée pour comprendre les mécanismes internes de mise à jour d’Orion (logiciel de SolarWinds). ► Ils ont injecté un malware dans les mises à jour officielles, distribué ensuite à des milliers de clients. ► Espionnage massif touchant des agences gouvernementales et de grandes entreprises. 7
Place de cette phase dans un pentest ► La reconnaissance constitue la base de tout test d’intrusion. ► Sans informations préliminaires, l’attaquant/pentester agit à l’aveugle. 8
Types de reconnaissance : 9 Critère Reconnaissance passive Reconnaissance active Niveau d’interaction Très faible (observation externe sans contact direct avec la cible) Élevé (requiert l’envoi de requêtes ou d’actions sur la cible) Risque de détection Faible (souvent indétectable car aucune sollicitation directe) Élevé (les IDS/IPS, firewalls ou logs peuvent enregistrer les activités) Précision des informations Moyenne (données publiques, OSINT, parfois incomplètes ou obsolètes) Élevée (résultats en temps réel, plus fiables et détaillés) Outils utilisés - Moteurs de recherche (Google, Shodan, Censys) - WHOIS, DNSdumpster - Réseaux sociaux, LinkedIn - Archives (Wayback Machine) - Nmap (scan de ports) - Nessus/OpenVAS (scan vulnérabilités) - Netcat, Telnet - Burp Suite (requêtes actives) Risques - Peu de risques techniques - Mauvaise interprétation de données publiques - Détection par l’organisation cible - Blocage d’IP - Risques techniques (perturbation) Enjeux légaux Généralement légal si limité à des données publiques (OSINT), mais peut poser problème si utilisation abusive (scraping massif, violation CGU) Illégal sans autorisation (scan réseaux, tests actifs), assimilable à une tentative d’intrusion
L’Ingénierie Sociale : Pirater l’Esprit Humain - Pirater les Gens, Pas les Machines ► Définition : Manipulation psychologique pour obtenir des informations sensibles ou pousser à des actions nuisibles. ► Exploite : confiance, curiosité, peur, urgence. ► Objectif : Vol de données, accès non autorisé, fraude. 10
La Psychologie de l’Urgence - Pourquoi l’Urgence Fonctionne? ► L’urgence crée une pression pour agir sans réfléchir. ► Court-circuite le jugement rationnel, déclenche peur ou excitation. ► Modèle PAURE : ► Prétexte : Scénario crédible. ► Autorité : Se faire passer pour une figure de confiance. ► Urgence : Demande sensible au temps. ► Réaction : Action immédiate demandée. ► Emotion : Peur, avidité ou excitation. 11
Techniques Courantes ► Phishing : Emails ou sites frauduleux. ► Smishing : SMS trompeurs. ► Vishing : Appels téléphoniques frauduleux. ► Pretexting : Scénarios fictifs. ► Baiting : Clés USB ou téléchargements piégés. ► Tailgating : Accès physique non autorisé. 12
Célèbres attaques d'ingénierie sociale Kevin Mitnick et le piratage par téléphone (années 1980-1990) ► Contexte : Kevin Mitnick, l'un des hackers les plus connus, a utilisé l'ingénierie sociale pour accéder à des systèmes informatiques sensibles. ► Méthode : Mitnick se faisait passer pour des employés ou des techniciens légitimes pour obtenir des mots de passe ou des informations d'accès auprès d'employés de grandes entreprises. Il utilisait des techniques comme le "pretexting" (création d'un faux scénario) et le "phreaking" (manipulation des systèmes téléphoniques). ► Impact : Il a accédé à des réseaux de grandes entreprises comme Motorola et Nokia, causant des pertes importantes. Mitnick a finalement été arrêté en 1995, mais son cas a popularisé l'ingénierie sociale comme menace sérieuse. ► Son cas est intéressant pour RENFORCER le sentiment positif de la cyber défense plutôt que la cyber-attaque 13
Célèbres attaques d'ingénierie sociale Attaque contre Twitter en 2020 (piratage de comptes via employés) ► Contexte : Des comptes Twitter de personnalités comme Elon Musk, Barack Obama et Apple ont été piratés pour promouvoir une arnaque au Bitcoin. ► Méthode : Les attaquants ont utilisé le spear-phishing pour obtenir les identifiants d'employés de Twitter ayant accès à des outils internes. Ils ont convaincu ces employés par des appels téléphoniques ou des e-mails ciblés. ► Impact : Les comptes piratés ont publié des tweets frauduleux, incitant les utilisateurs à envoyer des Bitcoins. L'attaque a rapporté environ 120 000 $ aux pirates et a révélé des failles dans la sécurité interne de Twitter 14
Dumpster Diving ► Fouille physique des déchets pour récupérer des documents ou artefacts sensibles (mots de passe, plans). ► Composants: ► Artefacts: Documents, disques durs, notes. ► Environnement: Poubelles d’entreprise. ► Standards: MITRE T1599. ► Exemple: Récupération d’une liste de mots de passe dans une poubelle. ► Contre-mesures: ► Déchiqueteuses croisées: ISO/IEC 27001. ► Politiques de destruction: NIST SP 800-88. 15
Search the Fine Web (STFW) ► Recherche sur le site Web d’une organisation ► Les coordonnées de l’employé avec les numéros de téléphone. ► Indices sur la culture et le langage de l’entreprise. ► Partenaires commerciaux. ► Fusions et acquisitions récentes. ► Technologies utilisées. ► L’art d’utiliser les moteurs de recherche ► Google dorking 16
Search the Fine Web (STFW) – Google Dorking 17 Filtre Description Exemple allintext Recherche les occurrences de tous les mots-clés donnés. allintext:"keyword" intext Recherche les occurrences de mots-clés en une seule fois ou un à la fois. intext:"keyword" inurl Recherche une URL correspondant à l’un des mots-clés. inurl:"keyword" allinurl Recherche une URL correspondant à tous les mots-clés de la requête. allinurl:"keyword" intitle Recherche les occurrences de mots-clés dans le titre all ou un. intitle:"keyword" allintitle Recherche les occurrences de mots-clés à la fois. allintitle:"keyword" site Recherche spécifiquement ce site particulier et répertorie tous les résultats de ce site. site:"www.google.com" filetype Recherche un type de fichier particulier mentionné dans la requête. filetype:"pdf" link Recherche de liens externes vers des pages. link:"keyword" numrange Utilisé pour localiser des numéros spécifiques dans vos recherches. numrange:321-325 before/after Utilisé pour effectuer une recherche dans une plage de dates particulière. filetype:pdf & (before:2000-01-01 after:2001-01-01) allinanchor (and also inanchor) Cela montre les sites dont les mots-clés sont des liens pointant vers eux, dans l’ordre du plus grand nombre de liens. inanchor:rat allinpostauthor (and also inpostauthor) Exclusif à la recherche de blogs, celui-ci sélectionne des articles de blog écrits par des personnes spécifiques. allinpostauthor:"keyword" related Répertoriez les pages Web qui sont « similaires » à une page Web spécifiée. related:www.google.com cache Affiche la version de la page Web que Google a dans son cache. cache:www.google.com
Search the Fine Web (STFW) – Google Dorking 18
TP1 – Google dorking ► Familiarisez-vous avec les opérateurs de base : ► site: → restreint à un domaine spécifique. ► filetype: → recherche un type de fichier particulier (pdf, xls, docx…). ► intitle: → recherche dans le titre de la page. ► inurl: → recherche dans l’URL. ► "mot exact" → recherche exacte. 19
OSINT framework 20
Shodan ► Shodan est un moteur de recherche Internet conçu pour indexer les appareils accessibles au public connectés à Internet, y compris les webcams, les routeurs, les systèmes SCADA et les appareils IoT. ► Il est souvent appelé « Le moteur de recherche de l’IoT », car il permet aux utilisateurs de découvrir et d’explorer les appareils connectés à Internet dans le monde entier. Bien que Shodan fournisse des informations précieuses aux chercheurs en sécurité, il est également devenu un outil courant pour les cybercriminels, y compris les script kiddies, en raison de son interface simple et de sa vaste base de données de systèmes exposés ► L’indexation de Shodan fonctionne en scannant les ports ouverts sur les appareils et services connectés à Internet, en recueillant des informations sur leurs interfaces publiques plutôt que de se concentrer sur les pages Web comme les moteurs de recherche traditionnels. ► Au lieu d’indexer le contenu du site, Shodan collecte des « bannières », c’est-à-dire des informations fournies par les services en réponse aux demandes, qui révèlent des détails sur la configuration de l’appareil ou du logiciel. Ce processus comprend l’analyse de divers protocoles, tels que HTTP, HTTPS, FTP, SSH, Telnet, SNMP et SIP, ce qui permet à Shodan de cataloguer un large éventail de services connectés à Internet. 21
Shodan 22 ► Exemple d’une requête Shodan qui renvoie une liste d’adresses IP pour les appareils exécutant Apache dans le pays spécifié : États- Unis. ► Exemple d’une requête Shodan avec des options filtrées.
Shodan 23 Requête Shodan Action http Affiche les périphériques avec des serveurs HTTP ouverts sur n’importe quel port (80, 8080, etc.). port:23 Identifie les périphériques avec le service Telnet (port 23) ouvert port:3389 Renvoie les systèmes avec le protocole de bureau à distance activé sur le port 3389 http.title:“webcam” Cible les appareils étiquetés comme webcams dans le titre HTTP “SCADA” port:502 Répertorie les systèmes SCADA sur le port 502, souvent associés au protocole Modbus, utilisés dans les applications industrielles. port:21 “230 Login successful” Cible les serveurs FTP permettant une connexion anonyme, qui peut être exploitée pour un accès non autorisé. product:Redis “authentication required” false Recherche les instances Redis qui ne nécessitent pas d’authentification port:5060 Cible les périphériques utilisant le protocole d’initiation de session sur le port 5060, que l’on trouve couramment dans les systèmes VoIP. product:OpenSSL version:<1.1.1 Recherche les systèmes exécutant des versions vulnérables d’OpenSSL. ssl.cert.expired:true Identifie les serveurs à l’aide de certificats SSL expirés.
Les bases de données Whois : des coffres au trésor d’informations Les bases de données Whois contiennent une variété d’éléments de données concernant l’attribution d’adresses Internet, de noms de domaine et de contacts individuels. ► Recherche de noms de domaine .com, .net et .org. ► Une liste complète de tous les bureaux d’enregistrement accrédités est disponible à www.internic.net/alpha.html. ► www.internic.net/whois.html Permet à un utilisateur d’entrer le nom ou le nom de domaine d’une organisation. ► Recherche de noms de domaine autres que .com, .net et .org. ► Pour les organisations en dehors des États-Unis, une liste peut être trouvée à partir de www.allwhois.com/home.html. 24
Défenses contre les recherches Whois Les informations de base de données utiles aux attaquants ne doivent pas être accessibles au public. ► Pouvons-nous utiliser des informations d’inscription erronées ou trompeuses ? ► Vous pouvez obtenir rapidement et facilement les informations de contact à l’aide des recherches whois. ► Les informations de la base de données whois nous permettent d’informer un administrateur que ses systèmes étaient utilisés dans une attaque. ► Il n’y a pas de défense complète pour empêcher les attaquants d’obtenir des données d’enregistrement. 25
The Domain Name System (DNS) Le DNS est une base de données hiérarchique distribuée dans le monde entier qui stocke une variété d’informations, notamment des adresses IP, des noms de domaine et des informations sur le serveur de messagerie. ► Les serveurs DNS stockent ces informations et constituent la hiérarchie. 26
Interrogation des serveurs DNS (Ajouter des captures) ► Commande nslookup ► Windows ► La plupart des variantes d’Unix ► Commande host ► Inclus avec la plupart des variantes d’UNIX ► Commande Creuser ► Inclus avec certaines variantes UNIX 27
Le DNS à horizon partagé ► Le principal objectif du DNS à horizon partagé est d’améliorer la sécurité, la performance et la flexibilité de la résolution DNS. ► Le serveur DNS est configuré avec plusieurs « vues » (views). ► Chaque vue contient un ensemble de zones DNS et de règles qui s’appliquent uniquement à certaines adresses IP ou sous-réseaux clients. ► Lorsqu’une requête DNS arrive, le serveur choisit la vue appropriée selon l’origine de la requête et renvoie la réponse correspondante. 28
TP2 : Reconnaissance passive (OSINT) ► Objectif : Collecter des informations publiques sans interagir directement avec la cible. ► Outils : whois, nslookup, theHarvester, Shodan, Google dorking. ► Target: kali.org ► Étapes : ► Rechercher les informations d’un domaine cible (ex. nom de domaine local ou fictif). ► Identifier emails, sous-domaines et adresses IP associées. ► Rechercher des fuites de données sur Shodan. ► Résultat attendu : Rapport listant les infos collectées (emails, IPs, sous-domaines). 29
Spider foot ► Etapes d’installation : ► Par Docker : ► Installer Docker-ce ► Git clone https://github.com/smicallef/spiderfoot.git ► cd spiderfoot ► docker compose up –d ► Lien : localhost:5001 ► Documentation : GitHub - smicallef/spiderfoot: SpiderFoot automates OSINT for threat intelligence and mapping your attack surface. 30
Cartographie du réseau ► La cartographie du réseau est l’effort de cartographie ► Topologie ► Comment les composants du réseau sont connectés les uns aux autres pour construire le réseau. ► Périphériques réseau ► Types, marques, versions, etc. ► Ordinateurs et services ► Ordinateurs et leur emplacement, fournisseurs et modèles de fonctionnement du système d’exploitation.'s, published services 31
Sweeping: trouver des hôtes en direct ► L’une des étapes d’une mission de reconnaissance de réseau pour réduire un ensemble (parfois énorme) de plages d’adresses IP en une liste d’hôtes actifs ou intéressants ► ICMP ► Envoyez un paquet de demande d’écho ICMP à toutes les adresses possibles. ► Si une réponse revient, cela signifie que cette adresse dispose d’une machine active. ► Mais de nombreux réseaux bloquent les messages ICMP entrants. 32
Sweeping: trouver des hôtes en direct ► TCP/UDP ► Un attaquant peut également envoyer un paquet TCP ou UDP à un port généralement ouvert, tel que le port TCP 80. ► Si rien ne revient, il se peut qu’il y ait ou non une machine là-bas. ► ARP scanning ► une technique utilisée informatiques pour découvrir les appareils connectés à un réseau local (LAN) en exploitant le protocole ARP (Address Resolution Protocol). 33
Défenses contre le mappage de réseau Filtrez les messages sous-jacents sur lesquels s’appuient les outils de cartographie. Au niveau de la passerelle Internet, bloquez les messages ICMP entrants, à l’exception des hôtes pour lesquels vous souhaitez que le public puisse envoyer une commande ping. ► Filtrer ICMP TIME Messages dépassés quittant votre réseau pour contrecarrer un attaquant à l’aide de traceroute (tracert). 34
TP3 : Identification des hôtes actifs (Scanning basique) ► Objectif : Détecter les machines accessibles sur un réseau cible. ► Outils : ping, fping, Nmap. ► Étapes : ► Scanner une plage d’adresses IP locales (ex. 192.168.1.0/24). ► Identifier quels hôtes répondent. ► Comparer résultats ping sweep vs Nmap -sn. ► sudo arp-scan --interface=eth0 192.168.11.0/24 ► Résultat attendu : Liste des hôtes actifs avec leur IP. 35
Détermination des ports ouverts à l’aide d’analyseurs de ports Découvrez l’objectif de chaque système et apprenez les entrées potentielles dans vos machines en analysant les ports ouverts. L’attaquant peut se concentrer sur les services courants tels que telnet, FTP, e-mail. ► Outils gratuits : ► Nmap, 36
Utilisation de Nmap Commande Utilisée : nmap -sT -p 53 --script=dns-brute example.com Description : -sT : Effectue une analyse TCP complète pour identifier les services ouverts. -p 53 : Spécifie le port DNS (53) comme cible. --script=dns-brute : Utilise un script Nmap pour énumérer les sous-domaines en bruteforce à partir d'une liste prédéfinie. Objectif : Identifier les sous-domaines associés au domaine cible. Évaluer l'exposition des ressources DNS à des attaques potentielles. Collecter des informations utiles pour des étapes d’attaque ultérieures (comme la reconnaissance ou l’exploitation). • Préparation : • Définir un environnement sécurisé pour l’analyse (sandbox). • Configurer Nmap avec les paramètres mentionnés. • Exécution : • Lancer la commande et attendre que Nmap termine l’analyse. • Analyse des résultats : • Identifier les sous-domaines listés dans les résultats. • Examiner à ces sous-domaines. • les services potentiellement vulnérables associés Étapes : Résultat Attendu : Liste des sous-domaines détectés : Exemples : mail.example.com, ftp.example.com, admin.example.com. Informations supplémentaires sur les ports ou services actifs (si configuré). Risques : Un attaquant pourrait exploiter ces sous-domaines pour : Réaliser des attaques ciblées sur des services spécifiques. Effectuer des transferts de zones DNS non autorisés pour obtenir davantage de détails sur le réseau. Contre-Mesures : Configurer les serveurs DNS : Désactiver les transferts de zones pour les hôtes non autorisés. Restreindre les accès DNS via des règles de pare-feu. Audit régulier : Vérifier les sous-domaines exposés et leur pertinence. Supprimer les sous-domaines obsolètes ou inutilisés. Surveillance proactive : Utiliser des outils de détection d’activités suspectes sur les serveurs DNS. Activer des alertes pour les tentatives de transfert de zones. 37
TP4 : Détection des ports et services ouverts ► Objectif : Découvrir les services exposés sur un hôte. ► Outils : Nmap (scan de ports TCP/UDP). ► Étapes : ► Scanner un hôte pour détecter les ports ouverts. ► Identifier les services associés (HTTP, FTP, SSH…). ► Comparer scan rapide (-T4) vs scan furtif (-sS). ► Résultat attendu : Tableau des ports ouverts et services détectés. 38
Défenses contre l’analyse des ports ► Pare-feu (Firewall) : bloquer les ports inutilisés et limiter l’accès aux ports ouverts uniquement aux adresses IP autorisées. ► Liste blanche d’accès : autoriser uniquement les services nécessaires et bloquer tout le reste. ► Contrôle des protocoles : limiter certains protocoles aux utilisateurs internes ou VPN. ► IDS/IPS (Intrusion Detection/Prevention Systems) : détecter les scans de ports et bloquer l’attaquant automatiquement. ► Systèmes de log : surveiller les tentatives de connexion répétées ou les connexions inhabituelles. 39
Introduction aux bannières et fingerprinting - Banner Grabbing (Récolte de bannières) ► Le banner grabbing consiste à interroger un service réseau pour obtenir sa bannière, c’est-à-dire le texte que le service renvoie automatiquement lors d’une connexion. Cette bannière contient souvent : ► Le type de service (HTTP, FTP, SSH…) ► La version du logiciel (ex : Apache 2.4.54, OpenSSH 8.2) ► Parfois des informations supplémentaires sur le système. ► Exemple: Connexion à un serveur SSH : ► nc 192.168.1.10 22 ► SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.7 40
Introduction aux bannières et fingerprinting - Fingerprinting (Empreinte des systèmes) ► Le fingerprinting vise à identifier le système d’exploitation ou le logiciel exact d’une machine en analysant ses réponses réseau, son comportement et ses caractéristiques spécifiques. Il existe deux types : ► Fingerprinting passif ► Analyse des paquets réseau existants sans envoyer de requêtes supplémentaires. ► Exemple : observer les TTL, les options TCP, la taille des fenêtres pour deviner l’OS. ► Fingerprinting actif ► Envoie de paquets spécifiques pour provoquer des réponses caractéristiques. ► Exemple : Nmap OS detection avec l’option -O : ► nmap -O 192.168.1.10 ► Permet d’identifier le système d’exploitation (Windows, Linux, version exacte) et parfois le type de serveur réseau. 41
Introduction aux bannières et fingerprinting - Différence entre Banner Grabbing et Fingerprinting 42 Critère Banner Grabbing Fingerprinting But Identifier le service et sa version Identifier le système d’exploitation ou logiciel Technique Lecture directe d’une réponse Analyse active ou passive du comportement réseau Niveau de précision Souvent exact si la bannière est fiable Peut être précis ou approximatif selon le trafic Détection par IDS/IPS Moyennement détectable Plus détectable (actif) ou indétectable (passif)
Panorama des outils: Fingerprinting : WhatWeb, Wappalyzer ► WhatWeb : ► Outil en ligne de commande orienté sécurité et pentesting. ► Permet de détecter les technologies d’un site web : serveur web, CMS, frameworks, langages, plugins, etc. ► Fonctionne en envoyant des requêtes HTTP et en analysant les bannières, headers, cookies, URLs et signatures HTML. ► Wappalyzer : ► Outil disponible en extension de navigateur, logiciel ou API. ► Identifie les technologies côté client d’un site web : CMS, frameworks front-end, serveurs web, outils d’analyse, etc. ► Utilise l’analyse du HTML, CSS, JS et cookies pour détecter les technologies. 43
TP4 : Fingerprinting des services et bannières ► Objectif : Identifier les versions de logiciels et technologies utilisées. ► Outils : Nmap -sV, WhatWeb, Wappalyzer. ► Étapes : ► Scanner un hôte avec Nmap -sV pour obtenir versions des services. ► Identifier technologies web avec WhatWeb/Wappalyzer (CMS, frameworks, serveurs). ► Documenter les résultats. ► Résultat attendu : Liste des versions logicielles et technologies détectées. 44
Limites et détection: 45 Technique Limites principales Scan de ports standard Détectable facilement par IDS/IPS; peut déclencher des alertes Banner grabbing Certains serveurs masquent les bannières ou envoient des réponses trompeuses Fingerprinting actif Détectable car envoie des paquets inhabituels ou spécifiques à l’OS Fingerprinting passif Difficile à détecter, mais moins précis pour identifier la version exacte Scans furtifs / lents Peuvent contourner les IDS, mais prennent plus de temps
Limites et détection : Comment les IDS/IPS détectent les scans ► Analyse du trafic réseau ► IDS/IPS inspecte les paquets réseau pour repérer des modèles inhabituels ou suspects. ► Détection de patterns spécifiques ► Scans SYN : envoi massif de paquets SYN vers différents ports. ► Scans FIN / Xmas / Null : paquets TCP avec des flags inhabituels pour identifier les ports fermés. ► Scans UDP : envoi de paquets UDP sur plusieurs ports pour détecter des services. ► Analyse des taux et volumes ► Détection basée sur la vitesse des requêtes (rate limiting). ► Un grand nombre de requêtes vers plusieurs ports en peu de temps est suspect. ► Corrélation des événements ► IDS/IPS peut regrouper des tentatives similaires provenant d’une même IP ou plage IP pour signaler un scan global. ► Réponses actives (IPS) ► Bloquer temporairement l’adresse source ► Déclencher des alertes ou logs ► Limiter le nombre de connexions entrantes sur certains ports 46
Limites et détection: Techniques d’évasion et stealth scanning (aperçu introductif) ► Objectif : ► Identifier les ports ouverts et les services sans déclencher d’alertes. ► Contourner les systèmes de détection d’intrusions (IDS) et les pare-feux. ► Réduire la visibilité de l’attaque, ce qui complique la défense. ► Techniques courantes : 47 SYN Scan (half-open) Envoie un paquet SYN et n’achève pas la connexion TCP (pas de ACK final). Moins détectable que le scan complet (TCP connect). FIN / Xmas / Null Scan Envoie des paquets TCP avec des flags inhabituels : FIN seul, FIN+PSH+URG (Xmas), aucun flag (Null). Certains OS répondent uniquement aux ports fermés, ce qui permet de détecter les ports ouverts sans réponse normale. Idle Scan (zombie scan) Utilise une machine tierce (« zombie ») pour envoyer les paquets, cachant l’IP de l’attaquant réel. Fragmentation de paquets Découpe les paquets TCP/UDP en fragments pour échapper aux signatures IDS qui inspectent des paquets complets. Scan lent / Low-and-slow Échelonne les requêtes sur de longues périodes pour éviter la détection par le taux d’événements (rate-based detection). Spoofing d’adresse IP Utilise de fausses adresses IP pour masquer la source réelle du scan.
Identification des vulnérabilités - Qu’est-ce qu’une vulnérabilité ? ► Définition : faiblesse d’un logiciel/système exploitable. ► Références : CVE (Common Vulnerabilities and Exposures), NVD. ► Gravité : CVSS score (0–10). ► Cycle : découverte → publication CVE → patch → scan → remédiation. ► CVE : identifiant unique (ex: CVE-2023-XXXXX). ► NVD : détails, CVSS v3 score, vecteur d’attaque. ► Prioritisation : CVSS + contexte (exposition, comptes, compensations). 48
Nmap Scripting Engine (NSE) ► NSE = moteur de scripts pour automatiser vérifs (détection, vuln, brute). ► Scan vuln basique : nmap -sV --script=vuln <target> ► Script précis : nmap -sV --script=http-vuln-cve2017-5638 <target> ► Afficher tous les résultats : --script-args=unsafe=1 ou arguments du script. ► Exemples de scripts : vulners, http-vuln*, smb-vuln*, ftp-vsftpd- backdoor 49
OpenVAS ► OpenVAS / Greenbone : scanner de vulnérabilités open-source (scans Auth/Unauth). ► Composants : manager, scanner, feed d’OCIL/Plugins, web UI. ► Avantages : checklist large, scan credentialed, planification & reporting. 50
OpenVAS - Processus de scan ► Étapes : configurer targets → choisir scan config (Full / Fast) → credentials (optionnel) → lancer → analyser rapports. ► Paramètres clés : authentification (SSH/SMB/WMI), exclusions, scan throttling. ► Rapports : CVE list, risk level, preuve (output), remediation suggestions. 51
TP – OpenVAS ► Objectif : Installer et scanner des vulnérabilités avec OpenVas ► Environnement : ► Kali Linux, ou Ubuntu. ► Préquis : ► Accès root. ► Scanner les vulnérabilités de metasploitable et générer un Rapport.
Analyser le trafic reseau - Pourquoi analyser le trafic ? ► Détecter intrusions, exfiltration, comportements anormaux. ► Complément aux scans : visibilité en temps réel/historique. ► Cas d’usage : détection malware, investigation post-incident, troubleshooting appli. 53
Analyser le trafic reseau - Outils ► Wireshark : GUI, deep packet inspection. ► tshark : version CLI pour automatisation. ► tcpdump : capture légère en BPF. ► Zeek (Bro) : analyse passive & logs enrichis. ► tcpreplay : rejouer capturess dans le labo. 54
TP : Analyse de trafic réseau avec Wireshark sur Kali Linux et Metasploitable ► Objectif: ► Utiliser Wireshark sur Kali Linux pour capturer et analyser le trafic réseau généré entre Kali Linux (attaquant) et Metasploitable (cible). ► Effectuer un scan réseau simple avec nmap pour générer du trafic à capturer. ► Prérequis ► Une machine virtuelle Kali Linux (attaquant) avec Wireshark installé (préinstallé par défaut sur Kali). ► Une machine virtuelle Metasploitable 2 (cible vulnérable). ► Les deux machines doivent être sur le même réseau virtuel (par exemple, configuré en mode NAT ou Host-Only dans VirtualBox/VMware). ► Outils: ► Wireshark (sur Kali Linux). ► nmap (sur Kali Linux). 55
TP : Analyse de trafic réseau avec Wireshark sur Kali Linux et Metasploitable ► Étape 1 : Configuration du réseau ► Étape 2 : Lancer Wireshark ► wireshark & ► Étape 3 : Générer du trafic avec nmap ► nmap -sS -O 192.168.x.y ► Étape 4 : Analyser les paquets dans Wireshark ► Filtre : ip.addr == 192.168.x.y ► Étape 5 : Arrêter et sauvegarder la capture 56
Conclusion et perspectives: Importance stratégique de la phase reconnaissance ► Première étape clé : Avant toute exploitation, le pentester doit comprendre la cible (infrastructure, services, applications). ► Réduction des risques : Une reconnaissance précise permet de prioriser les tests et d’éviter les actions inutiles ou dangereuses. ► Collecte d’informations exploitables : Identification des ports ouverts, services, versions de logiciels et technologies web pour déterminer les vulnérabilités potentielles. ► Préparation des phases suivantes : L’information récoltée guide le scanning approfondi, l’exploitation et les tests de vulnérabilité. 57
Conclusion et perspectives: Importance stratégique de la phase reconnaissance ► Reconnaissance passive et active ► Passive : collecte d’informations publiques (DNS, sites web, réseaux sociaux) sans alerter la cible. ► Active : scans de ports, banner grabbing, fingerprinting pour obtenir des informations plus détaillées. ► Utilisation d’outils spécialisés ► Nmap, Netcat pour la découverte de ports et services. ► WhatWeb, Wappalyzer pour l’identification des technologies web. ► Éthique et légalité ► Effectuer uniquement des tests autorisés par le propriétaire du système. ► Documenter et signaler toutes les découvertes dans un rapport structuré. ► Intégration dans le cycle complet ► La reconnaissance ne se limite pas à l’information initiale : elle permet aussi de valider les mesures de sécurité, détecter les IDS/IPS, et ajuster les techniques de stealth scanning si nécessaire. 58

Contenu connexe

PDF
intro-pentest-web-ethical-hacking-linuxmaine.pdf
parThierry Gayet
 
PPT
Competitic securite données - numerique en entreprise
parCOMPETITIC
 
PPT
Introduction à La Sécurité Informatique 1/2
parSylvain Maret
 
PDF
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
parJUNIOR SORO
 
PDF
CS479-Overview-of-pentesting-and-tools-v0.8.en.fr.pdf
parQuadvosqdvs
 
PPTX
Tour d’horizon des méthodes de vol d’information
parISSA France Security Tuesday
 
PPTX
Enumeration et Exploitation
parAbdul Baacit Coulibaly
 
PPTX
Les bases de la securité informatique
parMozes Pierre
 
intro-pentest-web-ethical-hacking-linuxmaine.pdf
parThierry Gayet
 
Competitic securite données - numerique en entreprise
parCOMPETITIC
 
Introduction à La Sécurité Informatique 1/2
parSylvain Maret
 
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
parJUNIOR SORO
 
CS479-Overview-of-pentesting-and-tools-v0.8.en.fr.pdf
parQuadvosqdvs
 
Tour d’horizon des méthodes de vol d’information
parISSA France Security Tuesday
 
Enumeration et Exploitation
parAbdul Baacit Coulibaly
 
Les bases de la securité informatique
parMozes Pierre
 

Similaire à Reconnaissance et Scanning des vulnerabilites .pptx

PDF
Enjeux et évolutions de la sécurite informatique
parMaxime ALAY-EDDINE
 
PDF
Le piratage à la portée de tout le monde
parmichelcusin
 
PDF
Algorithmique et programmation Algorithmique et programmation
parISMAILNEGABI1
 
PPTX
Présentation Mémoire Cybersecurity .pptx
parKODJO10
 
PPTX
Matinée Cybercriminalité
parEvenements01
 
PPTX
chapitre securite icichapitere base de securite ici
partataoui55
 
PPTX
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
parCyber Security Alliance
 
PPTX
securisation inormatiquepourlaformation.pptx
parMahRandriamitsiry
 
PPTX
Panorama des menaces informatiques - Philippe Humeau, Net4All
parNet4All
 
PPTX
Rdv tic cybersécurité
parCOMPETITIC
 
PDF
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
paronyikondi
 
PPT
Attaques Informatiques
parSylvain Maret
 
PPTX
Reconnaissance
parAbdul Baacit Coulibaly
 
PDF
#NSD15 - Threat intelligence et Deep/Dark web
parNetSecure Day
 
PDF
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
parISACA Chapitre de Québec
 
PPTX
Conférence IIRCO - Projection des conflits sur l'espace numérique
parOPcyberland
 
PDF
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
parCyber Security Alliance
 
PDF
Identités, traces et interactions numériques l'apport du renseignement inte...
parTerry ZIMMER
 
PPTX
01 mdn2018 - conference cybersecurite - marc watin-augouard
parCyril Marsaud
 
PDF
Cp 2013 security_report_web_fr(1)
parniokho
 
Enjeux et évolutions de la sécurite informatique
parMaxime ALAY-EDDINE
 
Le piratage à la portée de tout le monde
parmichelcusin
 
Algorithmique et programmation Algorithmique et programmation
parISMAILNEGABI1
 
Présentation Mémoire Cybersecurity .pptx
parKODJO10
 
Matinée Cybercriminalité
parEvenements01
 
chapitre securite icichapitere base de securite ici
partataoui55
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
parCyber Security Alliance
 
securisation inormatiquepourlaformation.pptx
parMahRandriamitsiry
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
parNet4All
 
Rdv tic cybersécurité
parCOMPETITIC
 
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
paronyikondi
 
Attaques Informatiques
parSylvain Maret
 
Reconnaissance
parAbdul Baacit Coulibaly
 
#NSD15 - Threat intelligence et Deep/Dark web
parNetSecure Day
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
parISACA Chapitre de Québec
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
parOPcyberland
 
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
parCyber Security Alliance
 
Identités, traces et interactions numériques l'apport du renseignement inte...
parTerry ZIMMER
 
01 mdn2018 - conference cybersecurite - marc watin-augouard
parCyril Marsaud
 
Cp 2013 security_report_web_fr(1)
parniokho
 

Plus de YounessABOUQORA

PDF
Principes de bases du Hacking ethiquev1.pdf
parYounessABOUQORA
 
PDF
Techniques d_énumération et analyse des vulnérabilités.pdf
parYounessABOUQORA
 
PDF
2-UML_Analyse (Architecture)_Unified process.pdf
parYounessABOUQORA
 
PPTX
Exploitation des Vulnérabilités Réseau.pptx
parYounessABOUQORA
 
PDF
3-UML_ConceptionEtSuite_Unified process.pdf
parYounessABOUQORA
 
PDF
4-UML_EtudeDeCas_Gestion_Vol_Unified process.pdf
parYounessABOUQORA
 
PPTX
Chapitre 01- Maitriser architecture micro-services avec Spring Boot et Spring...
parYounessABOUQORA
 
PDF
1-UML_ Analayse des Besoins_Unified process.pdf
parYounessABOUQORA
 
PPTX
1- Méthode agile Scrum pour le developpement des SI .pptx
parYounessABOUQORA
 
PPTX
Self-supervised representation learning on point clouds - Copy.pptx
parYounessABOUQORA
 
PPTX
Chapitre 02- Mapping Objet Relational (ORM).pptx
parYounessABOUQORA
 
PPTX
Etude de cas - architecture fonctionnelle UML.pptx
parYounessABOUQORA
 
PPTX
Phase d'analyse- Modelisation par UML.pptx
parYounessABOUQORA
 
PPTX
Phase de conception- modelisation par UML.pptx
parYounessABOUQORA
 
PPTX
Travaux dirigee diagramme de cas d'utilisation.pptx
parYounessABOUQORA
 
PPTX
Automatic framework for 3D Objects-parts LearningCist'16.pptx
parYounessABOUQORA
 
PPTX
1-Introduction genie logiciel-fondements.pptx
parYounessABOUQORA
 
PPTX
Chapitre 3- Introduction au Java Bean.pptx
parYounessABOUQORA
 
PPTX
Communication asynchrone - RabbitMq Broker .pptx
parYounessABOUQORA
 
PDF
A Hybrid Deep Learning Network CNN-SVM présentation.pdf
parYounessABOUQORA
 
Principes de bases du Hacking ethiquev1.pdf
parYounessABOUQORA
 
Techniques d_énumération et analyse des vulnérabilités.pdf
parYounessABOUQORA
 
2-UML_Analyse (Architecture)_Unified process.pdf
parYounessABOUQORA
 
Exploitation des Vulnérabilités Réseau.pptx
parYounessABOUQORA
 
3-UML_ConceptionEtSuite_Unified process.pdf
parYounessABOUQORA
 
4-UML_EtudeDeCas_Gestion_Vol_Unified process.pdf
parYounessABOUQORA
 
Chapitre 01- Maitriser architecture micro-services avec Spring Boot et Spring...
parYounessABOUQORA
 
1-UML_ Analayse des Besoins_Unified process.pdf
parYounessABOUQORA
 
1- Méthode agile Scrum pour le developpement des SI .pptx
parYounessABOUQORA
 
Self-supervised representation learning on point clouds - Copy.pptx
parYounessABOUQORA
 
Chapitre 02- Mapping Objet Relational (ORM).pptx
parYounessABOUQORA
 
Etude de cas - architecture fonctionnelle UML.pptx
parYounessABOUQORA
 
Phase d'analyse- Modelisation par UML.pptx
parYounessABOUQORA
 
Phase de conception- modelisation par UML.pptx
parYounessABOUQORA
 
Travaux dirigee diagramme de cas d'utilisation.pptx
parYounessABOUQORA
 
Automatic framework for 3D Objects-parts LearningCist'16.pptx
parYounessABOUQORA
 
1-Introduction genie logiciel-fondements.pptx
parYounessABOUQORA
 
Chapitre 3- Introduction au Java Bean.pptx
parYounessABOUQORA
 
Communication asynchrone - RabbitMq Broker .pptx
parYounessABOUQORA
 
A Hybrid Deep Learning Network CNN-SVM présentation.pdf
parYounessABOUQORA
 

Reconnaissance et Scanning des vulnerabilites .pptx

  • 1.
  • 2.
    Objectifs :  Découvrirles techniques de reconnaissance  Explorer les hôtes et services  Scanner des ports et vulnérabilités  Analyser le trafic réseau 2
  • 3.
    Sommaire 1. Introduction àla reconnaissance et au scanning 2. Historique et évolution des techniques de reconnaissance 3. Contexte et enjeux 4. Concepts et méthodologie de reconnaissance 5. Techniques de base de scanning 6. Panorama des outils 7. Mise en pratique (TPs) 8. Limites et détection 9. Conclusion et perspectives 3
  • 4.
    Reconnaissance ? ► Utilisationd’une combinaison d’outils et de techniques pour prendre une quantité inconnue d’informations et la réduire à une plage spécifique de noms de domaine, de blocs de réseau et d’adresses IP individuelles de systèmes directement connectés à Internet. ► Reconnaissance à faible technologie ► Rechercher sur le Web ► Utiliser les moteurs de recherche ► Bases de données Whois ► Système de noms de domaine 4
  • 5.
    Contexte et enjeux:Importance de la collecte d’informations pour préparer l’attaque ► Phase critique du pentest : prépare le terrain pour toutes les autres étapes. ► Plus l’information est riche, plus l’attaque est ciblée et efficace. ► Identifier les surfaces d’attaque (IP, domaines, sous-domaines, services exposés). ► Déterminer les technologies et versions (CMS, serveurs web, OS, frameworks). ► Révéler des failles potentielles (comptes utilisateurs, fuites de données publiques). ► Comprendre l’environnement cible avant d’exploiter. ► Les attaquants malveillants utilisent les mêmes techniques → menace réelle. ► Négligence dans cette étape = pentest incomplet. 5
  • 6.
    Contexte et enjeux:Risques légaux et éthiques liés à la reconnaissance ► Même si elle peut sembler « passive », elle peut déjà avoir des implications juridiques. ► Certaines actions de reconnaissance sont illégales sans autorisation (scan de ports, fingerprinting réseau, exploitation d’API). ► La législation varie selon les pays, mais la règle générale : tout test doit être contractuellement autorisé (ex. lettre de mission). ► Aspects éthiques : Respecter la vie privée (ex. collecte de données personnelles sur employés). ► Risques : Poursuites judiciaires en cas d’action sans autorisation. ► Exemple : lancer un scan massif de ports ou tenter un brute-force sur un service exposé sans contrat. 6
  • 7.
    Contexte et enjeux:Exemples d’incidents où la reconnaissance a été déterminante ► Attaque contre Equifax (2017): ► Les attaquants ont recherché les systèmes publics d’Equifax vulnérables. ► La reconnaissance leur a permis d’identifier un serveur Apache Struts non patché exposé sur Internet. ► Vol des données personnelles de 147 millions de personnes. ► SolarWinds (2020): ► Les attaquants ont mené une reconnaissance très avancée pour comprendre les mécanismes internes de mise à jour d’Orion (logiciel de SolarWinds). ► Ils ont injecté un malware dans les mises à jour officielles, distribué ensuite à des milliers de clients. ► Espionnage massif touchant des agences gouvernementales et de grandes entreprises. 7
  • 8.
    Place de cettephase dans un pentest ► La reconnaissance constitue la base de tout test d’intrusion. ► Sans informations préliminaires, l’attaquant/pentester agit à l’aveugle. 8
  • 9.
    Types de reconnaissance: 9 Critère Reconnaissance passive Reconnaissance active Niveau d’interaction Très faible (observation externe sans contact direct avec la cible) Élevé (requiert l’envoi de requêtes ou d’actions sur la cible) Risque de détection Faible (souvent indétectable car aucune sollicitation directe) Élevé (les IDS/IPS, firewalls ou logs peuvent enregistrer les activités) Précision des informations Moyenne (données publiques, OSINT, parfois incomplètes ou obsolètes) Élevée (résultats en temps réel, plus fiables et détaillés) Outils utilisés - Moteurs de recherche (Google, Shodan, Censys) - WHOIS, DNSdumpster - Réseaux sociaux, LinkedIn - Archives (Wayback Machine) - Nmap (scan de ports) - Nessus/OpenVAS (scan vulnérabilités) - Netcat, Telnet - Burp Suite (requêtes actives) Risques - Peu de risques techniques - Mauvaise interprétation de données publiques - Détection par l’organisation cible - Blocage d’IP - Risques techniques (perturbation) Enjeux légaux Généralement légal si limité à des données publiques (OSINT), mais peut poser problème si utilisation abusive (scraping massif, violation CGU) Illégal sans autorisation (scan réseaux, tests actifs), assimilable à une tentative d’intrusion
  • 10.
    L’Ingénierie Sociale :Pirater l’Esprit Humain - Pirater les Gens, Pas les Machines ► Définition : Manipulation psychologique pour obtenir des informations sensibles ou pousser à des actions nuisibles. ► Exploite : confiance, curiosité, peur, urgence. ► Objectif : Vol de données, accès non autorisé, fraude. 10
  • 11.
    La Psychologie del’Urgence - Pourquoi l’Urgence Fonctionne? ► L’urgence crée une pression pour agir sans réfléchir. ► Court-circuite le jugement rationnel, déclenche peur ou excitation. ► Modèle PAURE : ► Prétexte : Scénario crédible. ► Autorité : Se faire passer pour une figure de confiance. ► Urgence : Demande sensible au temps. ► Réaction : Action immédiate demandée. ► Emotion : Peur, avidité ou excitation. 11
  • 12.
    Techniques Courantes ► Phishing: Emails ou sites frauduleux. ► Smishing : SMS trompeurs. ► Vishing : Appels téléphoniques frauduleux. ► Pretexting : Scénarios fictifs. ► Baiting : Clés USB ou téléchargements piégés. ► Tailgating : Accès physique non autorisé. 12
  • 13.
    Célèbres attaques d'ingénieriesociale Kevin Mitnick et le piratage par téléphone (années 1980-1990) ► Contexte : Kevin Mitnick, l'un des hackers les plus connus, a utilisé l'ingénierie sociale pour accéder à des systèmes informatiques sensibles. ► Méthode : Mitnick se faisait passer pour des employés ou des techniciens légitimes pour obtenir des mots de passe ou des informations d'accès auprès d'employés de grandes entreprises. Il utilisait des techniques comme le "pretexting" (création d'un faux scénario) et le "phreaking" (manipulation des systèmes téléphoniques). ► Impact : Il a accédé à des réseaux de grandes entreprises comme Motorola et Nokia, causant des pertes importantes. Mitnick a finalement été arrêté en 1995, mais son cas a popularisé l'ingénierie sociale comme menace sérieuse. ► Son cas est intéressant pour RENFORCER le sentiment positif de la cyber défense plutôt que la cyber-attaque 13
  • 14.
    Célèbres attaques d'ingénieriesociale Attaque contre Twitter en 2020 (piratage de comptes via employés) ► Contexte : Des comptes Twitter de personnalités comme Elon Musk, Barack Obama et Apple ont été piratés pour promouvoir une arnaque au Bitcoin. ► Méthode : Les attaquants ont utilisé le spear-phishing pour obtenir les identifiants d'employés de Twitter ayant accès à des outils internes. Ils ont convaincu ces employés par des appels téléphoniques ou des e-mails ciblés. ► Impact : Les comptes piratés ont publié des tweets frauduleux, incitant les utilisateurs à envoyer des Bitcoins. L'attaque a rapporté environ 120 000 $ aux pirates et a révélé des failles dans la sécurité interne de Twitter 14
  • 15.
    Dumpster Diving ► Fouillephysique des déchets pour récupérer des documents ou artefacts sensibles (mots de passe, plans). ► Composants: ► Artefacts: Documents, disques durs, notes. ► Environnement: Poubelles d’entreprise. ► Standards: MITRE T1599. ► Exemple: Récupération d’une liste de mots de passe dans une poubelle. ► Contre-mesures: ► Déchiqueteuses croisées: ISO/IEC 27001. ► Politiques de destruction: NIST SP 800-88. 15
  • 16.
    Search the FineWeb (STFW) ► Recherche sur le site Web d’une organisation ► Les coordonnées de l’employé avec les numéros de téléphone. ► Indices sur la culture et le langage de l’entreprise. ► Partenaires commerciaux. ► Fusions et acquisitions récentes. ► Technologies utilisées. ► L’art d’utiliser les moteurs de recherche ► Google dorking 16
  • 17.
    Search the FineWeb (STFW) – Google Dorking 17 Filtre Description Exemple allintext Recherche les occurrences de tous les mots-clés donnés. allintext:"keyword" intext Recherche les occurrences de mots-clés en une seule fois ou un à la fois. intext:"keyword" inurl Recherche une URL correspondant à l’un des mots-clés. inurl:"keyword" allinurl Recherche une URL correspondant à tous les mots-clés de la requête. allinurl:"keyword" intitle Recherche les occurrences de mots-clés dans le titre all ou un. intitle:"keyword" allintitle Recherche les occurrences de mots-clés à la fois. allintitle:"keyword" site Recherche spécifiquement ce site particulier et répertorie tous les résultats de ce site. site:"www.google.com" filetype Recherche un type de fichier particulier mentionné dans la requête. filetype:"pdf" link Recherche de liens externes vers des pages. link:"keyword" numrange Utilisé pour localiser des numéros spécifiques dans vos recherches. numrange:321-325 before/after Utilisé pour effectuer une recherche dans une plage de dates particulière. filetype:pdf & (before:2000-01-01 after:2001-01-01) allinanchor (and also inanchor) Cela montre les sites dont les mots-clés sont des liens pointant vers eux, dans l’ordre du plus grand nombre de liens. inanchor:rat allinpostauthor (and also inpostauthor) Exclusif à la recherche de blogs, celui-ci sélectionne des articles de blog écrits par des personnes spécifiques. allinpostauthor:"keyword" related Répertoriez les pages Web qui sont « similaires » à une page Web spécifiée. related:www.google.com cache Affiche la version de la page Web que Google a dans son cache. cache:www.google.com
  • 18.
    Search the FineWeb (STFW) – Google Dorking 18
  • 19.
    TP1 – Googledorking ► Familiarisez-vous avec les opérateurs de base : ► site: → restreint à un domaine spécifique. ► filetype: → recherche un type de fichier particulier (pdf, xls, docx…). ► intitle: → recherche dans le titre de la page. ► inurl: → recherche dans l’URL. ► "mot exact" → recherche exacte. 19
  • 20.
  • 21.
    Shodan ► Shodan estun moteur de recherche Internet conçu pour indexer les appareils accessibles au public connectés à Internet, y compris les webcams, les routeurs, les systèmes SCADA et les appareils IoT. ► Il est souvent appelé « Le moteur de recherche de l’IoT », car il permet aux utilisateurs de découvrir et d’explorer les appareils connectés à Internet dans le monde entier. Bien que Shodan fournisse des informations précieuses aux chercheurs en sécurité, il est également devenu un outil courant pour les cybercriminels, y compris les script kiddies, en raison de son interface simple et de sa vaste base de données de systèmes exposés ► L’indexation de Shodan fonctionne en scannant les ports ouverts sur les appareils et services connectés à Internet, en recueillant des informations sur leurs interfaces publiques plutôt que de se concentrer sur les pages Web comme les moteurs de recherche traditionnels. ► Au lieu d’indexer le contenu du site, Shodan collecte des « bannières », c’est-à-dire des informations fournies par les services en réponse aux demandes, qui révèlent des détails sur la configuration de l’appareil ou du logiciel. Ce processus comprend l’analyse de divers protocoles, tels que HTTP, HTTPS, FTP, SSH, Telnet, SNMP et SIP, ce qui permet à Shodan de cataloguer un large éventail de services connectés à Internet. 21
  • 22.
    Shodan 22 ► Exempled’une requête Shodan qui renvoie une liste d’adresses IP pour les appareils exécutant Apache dans le pays spécifié : États- Unis. ► Exemple d’une requête Shodan avec des options filtrées.
  • 23.
    Shodan 23 Requête ShodanAction http Affiche les périphériques avec des serveurs HTTP ouverts sur n’importe quel port (80, 8080, etc.). port:23 Identifie les périphériques avec le service Telnet (port 23) ouvert port:3389 Renvoie les systèmes avec le protocole de bureau à distance activé sur le port 3389 http.title:“webcam” Cible les appareils étiquetés comme webcams dans le titre HTTP “SCADA” port:502 Répertorie les systèmes SCADA sur le port 502, souvent associés au protocole Modbus, utilisés dans les applications industrielles. port:21 “230 Login successful” Cible les serveurs FTP permettant une connexion anonyme, qui peut être exploitée pour un accès non autorisé. product:Redis “authentication required” false Recherche les instances Redis qui ne nécessitent pas d’authentification port:5060 Cible les périphériques utilisant le protocole d’initiation de session sur le port 5060, que l’on trouve couramment dans les systèmes VoIP. product:OpenSSL version:<1.1.1 Recherche les systèmes exécutant des versions vulnérables d’OpenSSL. ssl.cert.expired:true Identifie les serveurs à l’aide de certificats SSL expirés.
  • 24.
    Les bases dedonnées Whois : des coffres au trésor d’informations Les bases de données Whois contiennent une variété d’éléments de données concernant l’attribution d’adresses Internet, de noms de domaine et de contacts individuels. ► Recherche de noms de domaine .com, .net et .org. ► Une liste complète de tous les bureaux d’enregistrement accrédités est disponible à www.internic.net/alpha.html. ► www.internic.net/whois.html Permet à un utilisateur d’entrer le nom ou le nom de domaine d’une organisation. ► Recherche de noms de domaine autres que .com, .net et .org. ► Pour les organisations en dehors des États-Unis, une liste peut être trouvée à partir de www.allwhois.com/home.html. 24
  • 25.
    Défenses contre lesrecherches Whois Les informations de base de données utiles aux attaquants ne doivent pas être accessibles au public. ► Pouvons-nous utiliser des informations d’inscription erronées ou trompeuses ? ► Vous pouvez obtenir rapidement et facilement les informations de contact à l’aide des recherches whois. ► Les informations de la base de données whois nous permettent d’informer un administrateur que ses systèmes étaient utilisés dans une attaque. ► Il n’y a pas de défense complète pour empêcher les attaquants d’obtenir des données d’enregistrement. 25
  • 26.
    The Domain NameSystem (DNS) Le DNS est une base de données hiérarchique distribuée dans le monde entier qui stocke une variété d’informations, notamment des adresses IP, des noms de domaine et des informations sur le serveur de messagerie. ► Les serveurs DNS stockent ces informations et constituent la hiérarchie. 26
  • 27.
    Interrogation des serveursDNS (Ajouter des captures) ► Commande nslookup ► Windows ► La plupart des variantes d’Unix ► Commande host ► Inclus avec la plupart des variantes d’UNIX ► Commande Creuser ► Inclus avec certaines variantes UNIX 27
  • 28.
    Le DNS àhorizon partagé ► Le principal objectif du DNS à horizon partagé est d’améliorer la sécurité, la performance et la flexibilité de la résolution DNS. ► Le serveur DNS est configuré avec plusieurs « vues » (views). ► Chaque vue contient un ensemble de zones DNS et de règles qui s’appliquent uniquement à certaines adresses IP ou sous-réseaux clients. ► Lorsqu’une requête DNS arrive, le serveur choisit la vue appropriée selon l’origine de la requête et renvoie la réponse correspondante. 28
  • 29.
    TP2 : Reconnaissancepassive (OSINT) ► Objectif : Collecter des informations publiques sans interagir directement avec la cible. ► Outils : whois, nslookup, theHarvester, Shodan, Google dorking. ► Target: kali.org ► Étapes : ► Rechercher les informations d’un domaine cible (ex. nom de domaine local ou fictif). ► Identifier emails, sous-domaines et adresses IP associées. ► Rechercher des fuites de données sur Shodan. ► Résultat attendu : Rapport listant les infos collectées (emails, IPs, sous-domaines). 29
  • 30.
    Spider foot ► Etapesd’installation : ► Par Docker : ► Installer Docker-ce ► Git clone https://github.com/smicallef/spiderfoot.git ► cd spiderfoot ► docker compose up –d ► Lien : localhost:5001 ► Documentation : GitHub - smicallef/spiderfoot: SpiderFoot automates OSINT for threat intelligence and mapping your attack surface. 30
  • 31.
    Cartographie du réseau ►La cartographie du réseau est l’effort de cartographie ► Topologie ► Comment les composants du réseau sont connectés les uns aux autres pour construire le réseau. ► Périphériques réseau ► Types, marques, versions, etc. ► Ordinateurs et services ► Ordinateurs et leur emplacement, fournisseurs et modèles de fonctionnement du système d’exploitation.'s, published services 31
  • 32.
    Sweeping: trouver deshôtes en direct ► L’une des étapes d’une mission de reconnaissance de réseau pour réduire un ensemble (parfois énorme) de plages d’adresses IP en une liste d’hôtes actifs ou intéressants ► ICMP ► Envoyez un paquet de demande d’écho ICMP à toutes les adresses possibles. ► Si une réponse revient, cela signifie que cette adresse dispose d’une machine active. ► Mais de nombreux réseaux bloquent les messages ICMP entrants. 32
  • 33.
    Sweeping: trouver deshôtes en direct ► TCP/UDP ► Un attaquant peut également envoyer un paquet TCP ou UDP à un port généralement ouvert, tel que le port TCP 80. ► Si rien ne revient, il se peut qu’il y ait ou non une machine là-bas. ► ARP scanning ► une technique utilisée informatiques pour découvrir les appareils connectés à un réseau local (LAN) en exploitant le protocole ARP (Address Resolution Protocol). 33
  • 34.
    Défenses contre lemappage de réseau Filtrez les messages sous-jacents sur lesquels s’appuient les outils de cartographie. Au niveau de la passerelle Internet, bloquez les messages ICMP entrants, à l’exception des hôtes pour lesquels vous souhaitez que le public puisse envoyer une commande ping. ► Filtrer ICMP TIME Messages dépassés quittant votre réseau pour contrecarrer un attaquant à l’aide de traceroute (tracert). 34
  • 35.
    TP3 : Identificationdes hôtes actifs (Scanning basique) ► Objectif : Détecter les machines accessibles sur un réseau cible. ► Outils : ping, fping, Nmap. ► Étapes : ► Scanner une plage d’adresses IP locales (ex. 192.168.1.0/24). ► Identifier quels hôtes répondent. ► Comparer résultats ping sweep vs Nmap -sn. ► sudo arp-scan --interface=eth0 192.168.11.0/24 ► Résultat attendu : Liste des hôtes actifs avec leur IP. 35
  • 36.
    Détermination des portsouverts à l’aide d’analyseurs de ports Découvrez l’objectif de chaque système et apprenez les entrées potentielles dans vos machines en analysant les ports ouverts. L’attaquant peut se concentrer sur les services courants tels que telnet, FTP, e-mail. ► Outils gratuits : ► Nmap, 36
  • 37.
    Utilisation de Nmap CommandeUtilisée : nmap -sT -p 53 --script=dns-brute example.com Description : -sT : Effectue une analyse TCP complète pour identifier les services ouverts. -p 53 : Spécifie le port DNS (53) comme cible. --script=dns-brute : Utilise un script Nmap pour énumérer les sous-domaines en bruteforce à partir d'une liste prédéfinie. Objectif : Identifier les sous-domaines associés au domaine cible. Évaluer l'exposition des ressources DNS à des attaques potentielles. Collecter des informations utiles pour des étapes d’attaque ultérieures (comme la reconnaissance ou l’exploitation). • Préparation : • Définir un environnement sécurisé pour l’analyse (sandbox). • Configurer Nmap avec les paramètres mentionnés. • Exécution : • Lancer la commande et attendre que Nmap termine l’analyse. • Analyse des résultats : • Identifier les sous-domaines listés dans les résultats. • Examiner à ces sous-domaines. • les services potentiellement vulnérables associés Étapes : Résultat Attendu : Liste des sous-domaines détectés : Exemples : mail.example.com, ftp.example.com, admin.example.com. Informations supplémentaires sur les ports ou services actifs (si configuré). Risques : Un attaquant pourrait exploiter ces sous-domaines pour : Réaliser des attaques ciblées sur des services spécifiques. Effectuer des transferts de zones DNS non autorisés pour obtenir davantage de détails sur le réseau. Contre-Mesures : Configurer les serveurs DNS : Désactiver les transferts de zones pour les hôtes non autorisés. Restreindre les accès DNS via des règles de pare-feu. Audit régulier : Vérifier les sous-domaines exposés et leur pertinence. Supprimer les sous-domaines obsolètes ou inutilisés. Surveillance proactive : Utiliser des outils de détection d’activités suspectes sur les serveurs DNS. Activer des alertes pour les tentatives de transfert de zones. 37
  • 38.
    TP4 : Détectiondes ports et services ouverts ► Objectif : Découvrir les services exposés sur un hôte. ► Outils : Nmap (scan de ports TCP/UDP). ► Étapes : ► Scanner un hôte pour détecter les ports ouverts. ► Identifier les services associés (HTTP, FTP, SSH…). ► Comparer scan rapide (-T4) vs scan furtif (-sS). ► Résultat attendu : Tableau des ports ouverts et services détectés. 38
  • 39.
    Défenses contre l’analysedes ports ► Pare-feu (Firewall) : bloquer les ports inutilisés et limiter l’accès aux ports ouverts uniquement aux adresses IP autorisées. ► Liste blanche d’accès : autoriser uniquement les services nécessaires et bloquer tout le reste. ► Contrôle des protocoles : limiter certains protocoles aux utilisateurs internes ou VPN. ► IDS/IPS (Intrusion Detection/Prevention Systems) : détecter les scans de ports et bloquer l’attaquant automatiquement. ► Systèmes de log : surveiller les tentatives de connexion répétées ou les connexions inhabituelles. 39
  • 40.
    Introduction aux bannièreset fingerprinting - Banner Grabbing (Récolte de bannières) ► Le banner grabbing consiste à interroger un service réseau pour obtenir sa bannière, c’est-à-dire le texte que le service renvoie automatiquement lors d’une connexion. Cette bannière contient souvent : ► Le type de service (HTTP, FTP, SSH…) ► La version du logiciel (ex : Apache 2.4.54, OpenSSH 8.2) ► Parfois des informations supplémentaires sur le système. ► Exemple: Connexion à un serveur SSH : ► nc 192.168.1.10 22 ► SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.7 40
  • 41.
    Introduction aux bannièreset fingerprinting - Fingerprinting (Empreinte des systèmes) ► Le fingerprinting vise à identifier le système d’exploitation ou le logiciel exact d’une machine en analysant ses réponses réseau, son comportement et ses caractéristiques spécifiques. Il existe deux types : ► Fingerprinting passif ► Analyse des paquets réseau existants sans envoyer de requêtes supplémentaires. ► Exemple : observer les TTL, les options TCP, la taille des fenêtres pour deviner l’OS. ► Fingerprinting actif ► Envoie de paquets spécifiques pour provoquer des réponses caractéristiques. ► Exemple : Nmap OS detection avec l’option -O : ► nmap -O 192.168.1.10 ► Permet d’identifier le système d’exploitation (Windows, Linux, version exacte) et parfois le type de serveur réseau. 41
  • 42.
    Introduction aux bannièreset fingerprinting - Différence entre Banner Grabbing et Fingerprinting 42 Critère Banner Grabbing Fingerprinting But Identifier le service et sa version Identifier le système d’exploitation ou logiciel Technique Lecture directe d’une réponse Analyse active ou passive du comportement réseau Niveau de précision Souvent exact si la bannière est fiable Peut être précis ou approximatif selon le trafic Détection par IDS/IPS Moyennement détectable Plus détectable (actif) ou indétectable (passif)
  • 43.
    Panorama des outils:Fingerprinting : WhatWeb, Wappalyzer ► WhatWeb : ► Outil en ligne de commande orienté sécurité et pentesting. ► Permet de détecter les technologies d’un site web : serveur web, CMS, frameworks, langages, plugins, etc. ► Fonctionne en envoyant des requêtes HTTP et en analysant les bannières, headers, cookies, URLs et signatures HTML. ► Wappalyzer : ► Outil disponible en extension de navigateur, logiciel ou API. ► Identifie les technologies côté client d’un site web : CMS, frameworks front-end, serveurs web, outils d’analyse, etc. ► Utilise l’analyse du HTML, CSS, JS et cookies pour détecter les technologies. 43
  • 44.
    TP4 : Fingerprintingdes services et bannières ► Objectif : Identifier les versions de logiciels et technologies utilisées. ► Outils : Nmap -sV, WhatWeb, Wappalyzer. ► Étapes : ► Scanner un hôte avec Nmap -sV pour obtenir versions des services. ► Identifier technologies web avec WhatWeb/Wappalyzer (CMS, frameworks, serveurs). ► Documenter les résultats. ► Résultat attendu : Liste des versions logicielles et technologies détectées. 44
  • 45.
    Limites et détection:45 Technique Limites principales Scan de ports standard Détectable facilement par IDS/IPS; peut déclencher des alertes Banner grabbing Certains serveurs masquent les bannières ou envoient des réponses trompeuses Fingerprinting actif Détectable car envoie des paquets inhabituels ou spécifiques à l’OS Fingerprinting passif Difficile à détecter, mais moins précis pour identifier la version exacte Scans furtifs / lents Peuvent contourner les IDS, mais prennent plus de temps
  • 46.
    Limites et détection: Comment les IDS/IPS détectent les scans ► Analyse du trafic réseau ► IDS/IPS inspecte les paquets réseau pour repérer des modèles inhabituels ou suspects. ► Détection de patterns spécifiques ► Scans SYN : envoi massif de paquets SYN vers différents ports. ► Scans FIN / Xmas / Null : paquets TCP avec des flags inhabituels pour identifier les ports fermés. ► Scans UDP : envoi de paquets UDP sur plusieurs ports pour détecter des services. ► Analyse des taux et volumes ► Détection basée sur la vitesse des requêtes (rate limiting). ► Un grand nombre de requêtes vers plusieurs ports en peu de temps est suspect. ► Corrélation des événements ► IDS/IPS peut regrouper des tentatives similaires provenant d’une même IP ou plage IP pour signaler un scan global. ► Réponses actives (IPS) ► Bloquer temporairement l’adresse source ► Déclencher des alertes ou logs ► Limiter le nombre de connexions entrantes sur certains ports 46
  • 47.
    Limites et détection:Techniques d’évasion et stealth scanning (aperçu introductif) ► Objectif : ► Identifier les ports ouverts et les services sans déclencher d’alertes. ► Contourner les systèmes de détection d’intrusions (IDS) et les pare-feux. ► Réduire la visibilité de l’attaque, ce qui complique la défense. ► Techniques courantes : 47 SYN Scan (half-open) Envoie un paquet SYN et n’achève pas la connexion TCP (pas de ACK final). Moins détectable que le scan complet (TCP connect). FIN / Xmas / Null Scan Envoie des paquets TCP avec des flags inhabituels : FIN seul, FIN+PSH+URG (Xmas), aucun flag (Null). Certains OS répondent uniquement aux ports fermés, ce qui permet de détecter les ports ouverts sans réponse normale. Idle Scan (zombie scan) Utilise une machine tierce (« zombie ») pour envoyer les paquets, cachant l’IP de l’attaquant réel. Fragmentation de paquets Découpe les paquets TCP/UDP en fragments pour échapper aux signatures IDS qui inspectent des paquets complets. Scan lent / Low-and-slow Échelonne les requêtes sur de longues périodes pour éviter la détection par le taux d’événements (rate-based detection). Spoofing d’adresse IP Utilise de fausses adresses IP pour masquer la source réelle du scan.
  • 48.
    Identification des vulnérabilités- Qu’est-ce qu’une vulnérabilité ? ► Définition : faiblesse d’un logiciel/système exploitable. ► Références : CVE (Common Vulnerabilities and Exposures), NVD. ► Gravité : CVSS score (0–10). ► Cycle : découverte → publication CVE → patch → scan → remédiation. ► CVE : identifiant unique (ex: CVE-2023-XXXXX). ► NVD : détails, CVSS v3 score, vecteur d’attaque. ► Prioritisation : CVSS + contexte (exposition, comptes, compensations). 48
  • 49.
    Nmap Scripting Engine(NSE) ► NSE = moteur de scripts pour automatiser vérifs (détection, vuln, brute). ► Scan vuln basique : nmap -sV --script=vuln <target> ► Script précis : nmap -sV --script=http-vuln-cve2017-5638 <target> ► Afficher tous les résultats : --script-args=unsafe=1 ou arguments du script. ► Exemples de scripts : vulners, http-vuln*, smb-vuln*, ftp-vsftpd- backdoor 49
  • 50.
    OpenVAS ► OpenVAS /Greenbone : scanner de vulnérabilités open-source (scans Auth/Unauth). ► Composants : manager, scanner, feed d’OCIL/Plugins, web UI. ► Avantages : checklist large, scan credentialed, planification & reporting. 50
  • 51.
    OpenVAS - Processusde scan ► Étapes : configurer targets → choisir scan config (Full / Fast) → credentials (optionnel) → lancer → analyser rapports. ► Paramètres clés : authentification (SSH/SMB/WMI), exclusions, scan throttling. ► Rapports : CVE list, risk level, preuve (output), remediation suggestions. 51
  • 52.
    TP – OpenVAS ►Objectif : Installer et scanner des vulnérabilités avec OpenVas ► Environnement : ► Kali Linux, ou Ubuntu. ► Préquis : ► Accès root. ► Scanner les vulnérabilités de metasploitable et générer un Rapport.
  • 53.
    Analyser le traficreseau - Pourquoi analyser le trafic ? ► Détecter intrusions, exfiltration, comportements anormaux. ► Complément aux scans : visibilité en temps réel/historique. ► Cas d’usage : détection malware, investigation post-incident, troubleshooting appli. 53
  • 54.
    Analyser le traficreseau - Outils ► Wireshark : GUI, deep packet inspection. ► tshark : version CLI pour automatisation. ► tcpdump : capture légère en BPF. ► Zeek (Bro) : analyse passive & logs enrichis. ► tcpreplay : rejouer capturess dans le labo. 54
  • 55.
    TP : Analysede trafic réseau avec Wireshark sur Kali Linux et Metasploitable ► Objectif: ► Utiliser Wireshark sur Kali Linux pour capturer et analyser le trafic réseau généré entre Kali Linux (attaquant) et Metasploitable (cible). ► Effectuer un scan réseau simple avec nmap pour générer du trafic à capturer. ► Prérequis ► Une machine virtuelle Kali Linux (attaquant) avec Wireshark installé (préinstallé par défaut sur Kali). ► Une machine virtuelle Metasploitable 2 (cible vulnérable). ► Les deux machines doivent être sur le même réseau virtuel (par exemple, configuré en mode NAT ou Host-Only dans VirtualBox/VMware). ► Outils: ► Wireshark (sur Kali Linux). ► nmap (sur Kali Linux). 55
  • 56.
    TP : Analysede trafic réseau avec Wireshark sur Kali Linux et Metasploitable ► Étape 1 : Configuration du réseau ► Étape 2 : Lancer Wireshark ► wireshark & ► Étape 3 : Générer du trafic avec nmap ► nmap -sS -O 192.168.x.y ► Étape 4 : Analyser les paquets dans Wireshark ► Filtre : ip.addr == 192.168.x.y ► Étape 5 : Arrêter et sauvegarder la capture 56
  • 57.
    Conclusion et perspectives:Importance stratégique de la phase reconnaissance ► Première étape clé : Avant toute exploitation, le pentester doit comprendre la cible (infrastructure, services, applications). ► Réduction des risques : Une reconnaissance précise permet de prioriser les tests et d’éviter les actions inutiles ou dangereuses. ► Collecte d’informations exploitables : Identification des ports ouverts, services, versions de logiciels et technologies web pour déterminer les vulnérabilités potentielles. ► Préparation des phases suivantes : L’information récoltée guide le scanning approfondi, l’exploitation et les tests de vulnérabilité. 57
  • 58.
    Conclusion et perspectives:Importance stratégique de la phase reconnaissance ► Reconnaissance passive et active ► Passive : collecte d’informations publiques (DNS, sites web, réseaux sociaux) sans alerter la cible. ► Active : scans de ports, banner grabbing, fingerprinting pour obtenir des informations plus détaillées. ► Utilisation d’outils spécialisés ► Nmap, Netcat pour la découverte de ports et services. ► WhatWeb, Wappalyzer pour l’identification des technologies web. ► Éthique et légalité ► Effectuer uniquement des tests autorisés par le propriétaire du système. ► Documenter et signaler toutes les découvertes dans un rapport structuré. ► Intégration dans le cycle complet ► La reconnaissance ne se limite pas à l’information initiale : elle permet aussi de valider les mesures de sécurité, détecter les IDS/IPS, et ajuster les techniques de stealth scanning si nécessaire. 58