Introduction à la méthodologie de l’Open Source Intelligence (OSINT)

Arrêtez-vous tous ! HaveIBeenPwned devient Open Source !

Suite à un projet de mise en vente en juin 2019 et un abandon de ce projet après 10 mois de recherche infructueuse en mars 2020, Troy Hunt, créateur de la plateforme HaveIBeenPwned a décidé de rendre le code source libre, permettant ainsi à la communauté de pouvoir collaborer à ce projet qui semble être devenu trop gros pour être administré par un seul homme.

Mais reprenons au commencement.

Qu’est-ce que HaveIBeenPwned ?

HaveIBeenPwned est un site bien connu dans la sphère IT. C’est à la fin de l’année 2013, que l’expert en sécurité informatique Troy Hunt, lance la plateforme, qui depuis, recense les fuites de données personnelles et permet aux utilisateurs de déterminer s’ils sont concernés.

Un simple champ à remplir avec son adresse email, et l’on sait directement si des données personnelles ont fuités (notamment les mot de passe associés à ces adresses mails) et via quelle fuite de données.

écran HaveIBeenPwned

A l’époque, cette plateforme avait le statut de pionnière dans la discipline. Depuis, plein d’autres organismes offre un service similaire : Firefox Monitor, Avast, F-Secure, etc.

Il est désormais de plus en plus facile de nos jours, de trouver des informations sur une personne. Que ce soit via les réseaux sociaux (professionnels ou personnels), les sites d’informations, les bases de données publiques ou celles commerciales, etc… trouver des informations telles qu’une adresse, des liens familiaux, des idées politiques sont choses aisés. Et c’est tout l’enjeux de l’OSINT.

Qu’est-ce que l’OSINT ?

L’OSINT (OpenSource INTelligence) est une technique de renseignement se basant sur la récupération d’informations librement accessibles. Il s’agit donc d’utiliser comme sources, toutes celles citées précédemment et bien d’autres encore, afin d’obtenir un maximum d’informations sur une personne ou sur une société.

Pour beaucoup d’attaques informatiques, il s’agit d’une première étape. En effet, lorsqu’une personne souhaite s’en prendre à une société spécifique, elle commence d’abord par se renseigner dessus afin de connaître les technologies en place ou les utilisateurs sensibles qui pourront être visés par une campagne de phishing par exemple.

Il existe une multitude d’attaques dont la criticité et la discrétion augmentent proportionnellement au volume d’informations récupérées.

Une arnaque bien connue par exemple, nommée la fraude au président, consiste à se faire passer pour le VIP d’une entreprise et de pousser un collaborateur à faire un virement en urgence. Et bien entendu, si l’arnaqueur utilise le nom d’un client connu au sein de l’entreprise, appelle le collaborateur par son nom ou cite des informations normalement connues qu’en interne et bien cela semble beaucoup plus réaliste pour le collaborateur qui n’aura pas de raison de douter des ordres reçus.

Le même exemple peut être fait avec du « spear phishing ». Cousin du bien connu « phishing », il se démarque de ce dernier par l’unicité de sa cible.

Ainsi, plus l’attaquant connaîtra d’informations sur l’entreprise, plus cette attaque sera réaliste et dangereuse. Nul n’est besoin de préciser à quel point la sensibilisation sur ces sujets auprès des collaborateurs est importante.

vol de données bancaires
C’est pour cela que dans cet article seront présentés quelques outils d’OSINT qui vous permettront d’initier vos collaborateurs aux dangers de laisser des informations librement accessibles.

Quelques outils d’OSINT

Nous avons déjà vu en introduction HaveIBeenPwned, qui se base donc sur les fuites de bases de données librement accessibles pour qui sait chercher. D’ailleurs on peut noter que la plateforme ne communique pas le mot de passe associé à l’adresse, mais certaines plateformes, notamment sur le Dark Web, elles, le font.

Shodan
Bien connu de la communauté, Shodan est un moteur de recherche créé en 2009. Mais là où un Google par exemple, indexe les sites web, Shodan est quant à lui spécialisé dans la recherche d’objets connectés à internet, qu’il s’agisse de serveurs, routeurs, caméras, imprimantes, etc.

Ci-dessous un exemple de recherche effectuée par Shodan.

Page recherche Shodan

Il n’est pas rare de trouver sur Shodan, des cas de caméra IP de petites boutiques. En effet, ce type de caméra si elles sont mal configurées, sont accessibles depuis internet et les mots de passes associés (s’ils existent) sont généralement ceux par défaut ou extrêmement faibles. Il est donc assez simple d’avoir accès à ces caméras et on peut donc assez aisément s’imaginer qu’une personne mal intentionnée puisse les utiliser à des fins malveillantes.

Avec des IP disponibles publiquement, tous ces objets connectés représentent une porte d’entrée vers les entreprises.

Google Dorks
Qui l’aurait cru, il est possible de hacker avec Google. Bien que la formulation soit un peu prétentieuse, nous ne sommes pas très loin de la vérité.

Google, moteur de recherche le plus utilisé au monde, indexe plusieurs centaines de milliards de pages web par an (130.000 milliards en 2016) et fonctionne avec une syntaxe qui lui est propre. Et ce sont les utilisations de cette syntaxe comme outils de hacking que l’on appelle Google Dorks.

En les utilisant, il est possible d’obtenir des informations sensibles et des sources indexées qui ne devraient pas l’être. On y trouve par exemple des accès à des fichiers de configurations serveurs, des documents divers et variés ou encore une page d’authentification à des équipements réseaux.

Ci-dessous une liste d’exemple de Google Dorks :

  • filetype:txt « License Key » : recherche de fichiers de clé de licence pour des logiciels
  • « ‘username’ => » + « ‘password’ => » ext:log : recherche de fichiers de logs contenant le couple login/mot de passe des utilisateurs.
  • intitle: »LaserJet » « Device status » « Supplies summary » : recherche d’imprimantes accessibles depuis internet
  • inurl:/login.rsp : recherche de caméras accessibles depuis internet

Il existe des centaines et des centaines de Google Dorks dont l’utilisation, bien que simple, peut se montrer très dangereuse pour les sociétés ciblées.

Maltego
Impossible de parler d’OSINT sans évoquer Maltego. Véritable mastodonte en ce qui concerne la collecte d’informations, il s’agit d’un logiciel développé par la société Paterva.

Son objectif : optimiser au maximum la collecte d’informations. En effet, en quelques clics le logiciel se met à effectuer les recherches à votre place, que ce soit sur les personnes, les entreprises, les services Web, etc.

Une fois cela effectué, il constitue un graphique détaillant les éléments qu’il a trouvés, comme ci-dessous.

graphique collecte d'informations

Est-ce alors la solution miracle ? Pas tout à fait. Bien qu’il soit assez aisé d’obtenir de premiers résultats, l’optimisation de ces derniers va nécessiter un peu plus d’expérience et de prises en main. De plus, en allant chercher au plus profond d’internet certaines informations, la solution remonte également un certain nombre de faux positifs qu’il sera nécessaire de traiter soi-même.

Maltego est donc un logiciel puissant (surtout dans sa version payante) mais dont l’utilisation ne saurait se priver d’un minimum d’expérience et de prise en main.

 

Outils en vrac

Il existe une multitude d’outils pour l’OSINT et il m’est impossible de tous les évoqués dans cet article et encore moins d’en détailler le fonctionnement.
Ainsi, vous pourrez trouver ci-dessous, une liste non-exhaustive d’outils qu’il vous faudra découvrir par vous-même. Mais n’est-ce pas là toute la beauté de la chose ?

Liste d’outils :

Eagle Eye : https://github.com/ThoughtfulDev/EagleEye
Harpoon : https://github.com/Te-k/harpoon
Holehe : https://github.com/megadose/holehe
Hunter.io
Lusha
Metabigor : https://github.com/j3ssie/metabigor
Raven : https://github.com/0x09AL/raven
Sleeping-time.org
theHarvester : https://github.com/laramies/theHarvester
Tinfoleak : https://github.com/vaguileradiaz/tinfoleak
Toutatis : https://github.com/megadose/toutatis
Twint : https://github.com/twintproject/twint
Wyd : https://www.darknet.org.uk/2006/11/wyd-automated-password-profiling-tool/

Références

https://www.maltego.com/tags/maltego-ce/
https://www.exploit-db.com/google-hacking-database
https://www.shodan.io/
https://connect.ed-diamond.com/MISC/MISC-104/Methodologie-d-OSINT-orientee-reseaux-sociaux
https://www.troyhunt.com/project-svalbard-the-future-of-have-i-been-pwned/

Retrouvez la practice Sécurité Opérationnelle : https://www.synetis.com/expertises/securite-operationnelle/

Brian Nicolas-Nelson

Consultant Sécurité Opérationnelle