Vous êtes sur la page 1sur 5

11/04/2019 Première phase du pentest : la phase de reconnaissance | SUPINFO, École Supérieure d'Informatique

Accéder à Open-Campus
Contact @SUPINFO

ACCUEIL CURSUS COURS ADMISSIONS CAMPUS DOCUMENTATION ANCIENS ENTREPRISES LIBRAIRIES PUBLICATIONS Naviguer sur la page

ACCUEIL CURSUS COURS ADMISSIONS CAMPUS DOCUMENTATION ANCIENS ENTREPRISES LIBRAIRIES PUBLICATIONS

Première phase du pentest : la phase de reconnaissa…


Par Gauthier SOMON • Publié le 16/09/2018 à 18:18:57 • Noter cet article: ☆☆☆☆☆ (0 votes)
Avis favorable du comité de lecture

Gauthier SOMON

Introduction
La phase de reconnaissance d’un test de pénétration ou pentest est la toute
première des phases, c’est celle où le hacker éthique va recueillir le maximum
de données sur sa cible avant de passer aux phases suivantes, plus offensives.
Il s’agit de la phase dite la plus importante lors d’un test d’intrusion, il suffit Introduction
Quelques précisions
d'une mauvaise reconnaissance et les actions suivantes n’auront aucune Les enregistrements whois
Le Google Hacking
portée, c’est pourquoi il est primordial d’y passer du temps, d’être méthodique A propos du DNS
et d’utiliser au mieux le maximum d’outils mis à sa disposition. D'autres méthodes
Maltego
Toutes les informations sont importantes, n’en négligez aucune, l’information Conclusion

la plus anodine peut avoir un effet boule de neige et nous faire arriver à une
faille, c’est pourquoi il est nécessaire de chercher les technologies et les protocoles utilisés, les adresses ip, les ports, mais aussi les
noms, les adresses mail, tout ce qui est contenu dans les mentions légales, les fichiers robots.txt etc..

Quelques précisions
Pour ce faire il y a de nombreuses façons plus ou moins automatisées pour arriver à ses fins et la principale est d’utiliser des intelligence
gathering tools : outils et méthodes pour collecter et modéliser des données. On va voir quelques-unes des méthodes et des outils les
plus couramment utilisés lors de cette phase mais sachez qu'il reste encore énormément d'autres façons de procéder en fonction de ses
connaissances, de la cible, du but recherché etc. Il s’agit ici d’une démonstration de différents outils, je n’irais pas trop loin dans le détail,
notamment en ce qui concerne les commandes, elles feront peut-être l’objet d’autres articles plus spécifiques par la suite.
On parlera ici d'une méthodologie pour un pentest de type black box, c'est à dire un test grandeur nature où l'hacker éthique se met
dans la peau d'un véritable attaquant et ne dispose d’aucunes informations préalables sur sa cible, d'où l'importance de la phase de
reconnaissance pour recueillir toutes ces informations. L'avantage de ce test est de déterminer la facilité avec laquelle on accède à
certaines données publiquement après quelques recherches, son point faible est la possibilité de rater la détection d'une faille à cause
d'un oubli dans la reconnaissance, d’où l'existence du pentest en mode White Box où le pentesteur a à sa disposition l'ensemble des
informations sur le système qu'il doit auditer.

Les enregistrements whois

https://www.supinfo.com/articles/single/7602-premiere-phase-pentest-phase-reconnaissance 1/5
11/04/2019 Première phase du pentest : la phase de reconnaissance | SUPINFO, École Supérieure d'Informatique

Contact @SUPINFO

ACCUEIL CURSUS COURS ADMISSIONS CAMPUS DOCUMENTATION ANCIENS ENTREPRISES LIBRAIRIES PUBLICATIONS Naviguer sur la page

Commençons simplement par les enregistrements whois avec les données du propriétaire d'un site web, ces informations sont de base
utilisées par les sites pour donner leurs informations à des fins techniques ou professionnelles mais elles peuvent être une base de
travail pour le hacker éthique en fonction de leurs natures, de leurs précisions et de leurs accessibilités. Car en effet, ces informations
sont disponibles publiquement, bien qu'elles soient de plus en plus protégées voir supprimées pour éviter les attaques par spam et la
divulgation de données trop sensibles.
Il n’y a pas vraiment de règles en ce qui concerne les enregistrements whois, on ne peut donc jamais savoir sur quoi on va tomber mais
c’est une des premières choses à faire lors de la phase de recherche.

Le Google Hacking

Une autre technique de base de la phase de reconnaissance est l’utilisation du Google Hacking par divers moyens. Le Google hacking
s’appuie sur la puissance de recherche du célèbre moteur de recherche pour trouver des informations précises qui peuvent aider à se
diriger vers une faille de sécurité.
Alors comment faire ? Il faut utiliser les Google Dork, ce sont des opérateurs de recherche spécifiques qui nous permettent de trouver
des données précises, contrairement à nos recherches de tous les jours où nous tapons des mots clefs dans la barre de recherche qui
peuvent correspondre à un texte, un titre, une image, une balise meta, un texte alternatif d’une image et bien d’autres, on va pouvoir ici
préciser nos recherches. Il existe des sites qui les recensent et je ne vais pas tous les donner ici mais voici quelques exemples pour plus
de clarté.
On peut par exemple vouloir trouver un site ou une page bien précise via une partie d’Url, pour cela il suffit d’utiliser le Dork inurl et de
taper dans la barre de recherche : inurl :Cequejecherche. Bon c’est très bien mais pour un besoin très spécifique bien sûr, c’est pour ça

https://www.supinfo.com/articles/single/7602-premiere-phase-pentest-phase-reconnaissance 2/5
11/04/2019 Première phase du pentest : la phase de reconnaissance | SUPINFO, École Supérieure d'Informatique

qu’il existe de très nombreux Dorks listés, je vais donner un deuxième exemple qui devrait être plus parlant et qui est communément
Contact @SUPINFO
utilisé lors des pentests. Le Dork filetype, comme son nom l’indique va pouvoir chercher un type de fichier précis, et quoi de plus
intéressant qu’un
ACCUEIL CURSUS fichier
COURS de données
ADMISSIONS CAMPUScomme un fichier
DOCUMENTATION csv ou
ANCIENS xml si onLIBRAIRIES
ENTREPRISES lui ajoute le terme password, account ou ce genre
PUBLICATIONS de
Naviguer surchoses
la page ?

Voilà la force des dorks, un ciblage de la recherche qui utilise la puissance de Google pour trouver des informations mal protégées ou
indexées à tort.
Le Google hacking fonctionne aussi pour les images, il va être possible de retrouver beaucoup d’informations avec une simple image si
rien n’a été fait précédemment pour s’en prémunir.
Enfin, une fois certains noms connus grâce aux enregistrements WHOIS ou autre il n'est jamais déraisonnable de chercher ces noms sur
les réseaux sociaux qui peuvent donner parfois d'importantes informations.

A propos du DNS
Nous allons ici voir des outils qui entrent en relation avec les serveurs DNS, pour rappel un serveur DNS (Domain Name System) est
utilisé pour convertir un nom d'hôte en une adresse ip. Je ne rentrerai pas trop dans le détail, mais pour la suite il est nécessaire de
connaître au moins les types que voici :
- Le type A qui transpose un nom d'hôte en adresse ipv4
- Le type AAA qui transpose un nom d'hôte en adresse ipv6
- Le type PTR qui récupère le nom d'hôte depuis une adresse ip
- Le type mx qui permet de définir un serveur mail
- Le type SOA qui définit le serveur maître du domaine
Pourquoi s'en inquiéter ? Le serveur DNS atteint par des hacker peut poser beaucoup de problèmes, le plus efficace est
l’empoisonnement de cache, où l'attaquant remplace certaines données en cache par des données corrompues et renvoi les utilisateurs
vers un autre site lorsqu'il s'y connectent à nouveau en utilisant ces fameuses données en cache. De façon plus "habituelle" lorsqu'un
serveur est accessible par un hacker mal attentionné, les risques sont très souvent le vol d'informations et L'arrêt des services de ce
serveur par un attaque de type flood qui de fait ne permet plus à l'utilisateur d'avoir un accès au site en question.
Pour récupère ces champs, il existe deux outils connus que ce sont nslookup et dig, disponibles sous kali linux.
L'utilisation des deux est assez simple, il s'agit d'entrer la commande nslookup suivie d'un nom d'hôte pour récupérer l'adresse ip
temporaire de cet hôte, il est possible d'être plus précis à l'aide des types vus précédemment pour cibler un type serveur DNS en
particulier. Il suffit d'effectuer la même action pour utiliser l'outil DIg et de voir les et récupérer les informations qui nous intéressent.

D'autres méthodes

En ce qui concerne les moteurs de recherche je finirai en vous parlant de shodan, une alternative à Google orienté sécurité, puisque lors
d’une recherche qu’il faut paramétrer il va effectuer un balayage de ports et donner accès aux serveurs web, aux routeurs et aux
périphériques mis en réseau. Ce moteur de recherche est très utile et permet de voir ce qui est disponible et visible sur le réseau
internet et souvent de détecter des objets et des périphériques (Comme les webcams et les caméras de surveillance le plus souvent,
imaginez l’aubaine pour un pirate d’avoir un accès au cœur de l’entreprise qu’il souhaite hacker !). A noter que Shodan est gratuit et
nécessite un enregistrement de compte pour être utilisé et possède une version payante qui offre des filtres additionnels.
Il existe aussi le site archive.org qui effectue des sauvegardes de sites web dans le temps, ce qui peut être ludique et amusant pour voir
à quoi ressemblait les sites populaires il y a quelques années et se remémorer des souvenirs mais aussi pour trouver des informations
sur le site de sa cible qui aurait pu être révélées dans d’anciennes version.

https://www.supinfo.com/articles/single/7602-premiere-phase-pentest-phase-reconnaissance 3/5
11/04/2019 Première phase du pentest : la phase de reconnaissance | SUPINFO, École Supérieure d'Informatique

Pour rester sur le principe de la traçabilité des données, j’aimerais évoquer le module recon-ng, utilisable lui en ligne de commande sous
Contact @SUPINFO
kali linux, qui permet entre autres de trouver les données en cache utilisées sur un serveur publique et surtout sur les serveurs privés,
donc potentiellement
ACCUEIL ceux d’entreprises
CURSUS COURS ADMISSIONS via l’option ANCIENS
CAMPUS DOCUMENTATION cache_snoop de laLIBRAIRIES
ENTREPRISES partie discovery
PUBLICATIONSde recon-ng ( Vous le verrezNaviguer
par vous-même,
sur la page

recon-ng a de très nombreuses fonctionnalités ! )


Alors à quoi bon ? Eh bien il s’agit ensuite de configurer cet outil en donnant le nom de domaine d’un serveur et de lancer la commande «
run » pour voir quels sont les antivirus utilisés par ce serveur ! Et oui ces données transitent régulièrement de façon automatique via le
cache et apparaissent donc dans ce rapport.
Comme pour le reste je vous invite à regarder la documentation relative à recon-ng pour en savoir plus sur ses nombreuses options,
mais cet outil est très utile lors de la phase de reconnaissance et peut faire gagner beaucoup de temps.

Maltego

Maltego est un logiciel simple et puissant qui va collecter toutes les données en relation avec un donnée précise, ça peut être un site
web, une adresse mail ou n’importe quelle entité virtuelle.
Sur kali linux, il faut lancer maltego ce, créer un compte sur le lien proposé qui redirige vers paterva et créer un compte maltego
community edition ( gratuit ), il est aussi possible d'utiliser maltego sous Windows.
Attention toutefois, Maltego n’effectue que des actions de reconnaissance, c’est-à-dire qu’il va être capable de trouver toutes les
informations en relation avec votre entité de base mais rien de ce qui n’est privé ne sera trouvé, gardez bien ça à l’esprit, Maltego est un
outil de collecte et de mise en forme, pas d’hacking à proprement parler, même s’il est utilisé par les hackers éthiques ou non dans la
phase de reconnaissance.
Plus techniquement, maltego est un outil open source qui effectue des relations entre noms de domaines, adresses ip, enregistrement
whois etc.
Maltego fonctionne sous forme de graphique où des entités vont avoir des liens établis entre elles, ces entités vont d’ailleurs avoir trois
aspects :
- Le type : Il s’agit du type d’information (un nom de domaine, une adresse mail, une adresse ip etc.)
- La valeur : il s’agit de la donnée associée au type (si par exemple le type de l’entité était une adresse ip, sa valeur serait l’adresse elle-
même)
- La propriété : il s’agit d’informations additionnelles, encore avec l’exemple de l’ip, ici on pourrait savoir s’il s’agit d’une ipv4 ou ipv6
Cela étant dit, maltego permet de dégrossir le travail de reconnaissance d’un test d’intrusion mais ne peut pas être uniquement utilisé
sous peine de rater un grand nombre d’informations.

Conclusion
La phase de reconnaissance est très vaste et il s'agit ici de quelques mesures possibles pour l'effectuer, mais les techniques données ici
peuvent être variabilisées de nombreuses façons et d'autres techniques peuvent être utilisées, il faut surtout garder à l'esprit que :
- Toute information quelle qu'elle soit est bonne à prendre et doit être considérée
- Cette phase est très longue, elle demande de la méthode, de la rigueur et de l'obstination.

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir

https://www.supinfo.com/articles/single/7602-premiere-phase-pentest-phase-reconnaissance 4/5
11/04/2019 Première phase du pentest : la phase de reconnaissance | SUPINFO, École Supérieure d'Informatique

Contact @SUPINFO
SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
ACCUEIL CURSUS COURS ADMISSIONS CAMPUS DOCUMENTATION
La Grande EcoleANCIENS ENTREPRISES
de l'informatique, LIBRAIRIES etPUBLICATIONS
du numérique du management Naviguer sur la page
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels

https://www.supinfo.com/articles/single/7602-premiere-phase-pentest-phase-reconnaissance 5/5