Informatique Technologies Web
11 avril 2013

Shodan, un moteur de recherche trop curieux

Par Jean-Marc Amon

Quand les gens ne voient pas quelque chose sur Google, ils pensent que personne ne peut le trouver. Ce n’est pas vrai selon John Matherly, créateur de Shodan, le moteur de recherche le plus éffrayant sur Internet.

Shodan

Shodan ne fonctionne pas comme Google

Contrairement à Google qui explore le Web à la recherche de sites Web, Shodan navigue sur les canaux arrières d’Internet. C’est une sorte de « sombre » Google, la recherche se fait sur des serveurs, des webcams, imprimantes, routeurs et toutes les autres choses qui sont connectées et qui constituent Internet. Shodan fonctionne 24/7 et recueille des informations sur environ 500 millions d’appareils connectés et de services chaque mois.

 

Ce qu’on peut trouver avec Shodan

C’est étonnant ce qu’on peut trouver avec une simple recherche sur Shodan. Feux innombrables, caméras de sécurité, dispositifs de domotique et les systèmes de chauffage sont connectés à Internet et faciles à repérer.

Les chercheurs de Shodan ont trouvé des systèmes de contrôle pour un parc aquatique, une station d’essence, un refroidisseur de vin dans un hôtel et un four crématoire. Les chercheurs en cybersécurité ont même identifiés des systèmes de commandement et de contrôle pour centrales nucléaires et un cyclotron de particules accéléré par l’utilisation de Shodan.

Ce qui est vraiment remarquable à propos de la capacité de Shodan pour trouver tout cela – et ce qui rend Shodan si effrayant -, c’est que très peu de ces appareils possèdent une sorte de sécurité intégrés.

« C’est un échec massif de la sécurité », a déclaré HD Moore, chef de la sécurité de Rapid 7, qui exploite une version privée d’une base de données Shodan pour ses propres recherches.

Une recherche rapide pour « mot de passe par défaut”, révèle d’innombrables imprimantes, des serveurs et des dispositifs de contrôle des systèmes qui utilisent «admin» comme nom d’utilisateur et « 1234 » comme mot de passe.

De nombreux systèmes connectés ne nécessitent plus aucune information d’identification du tout – tout ce dont vous avez besoin est d’un navigateur Web pour se connecter.

Dans un discours prononcé lors du Defcon Cybersecurity Conference sur la cybersécurité, l’indépendant testeur de pénétration des systèmes de sécurité Dan Tentler a démontré comment il a utilisé Shodan pour trouver des systèmes de contrôle pour les évaporateurs, les appareils de chauffage à eau pressurisée, et portes de garage.

Il a trouvé un lave-auto qui pourrait être activée et désactivée et une patinoire de hockey au Danemark qui pourraient être dégivré avec un clic. Un système de contrôle de la circulation d’une ville entière a été connecté à Internet et peut être mis en mode « test » avec une entrée de commande unique.

Et il a aussi trouvé un système de contrôle pour une centrale hydroélectrique en France avec deux turbines produisant 3 mégawatts chacune. Effrayant si cela tombe dans de mauvaises mains.

« On peut vraiment faire des dégâts sérieux avec cela », a déclaré Tentler, dans un euphémisme.

Alors pourquoi tous ces dispositifs sont connectés avec si peut de sécurité ? Il ya des choses qui sont conçus pour être connectés à ‘Internet, tels que les serrures des portes qui peuvent être contrôlées avec votre iPhone, sont généralement considérés comme difficiles à trouver. La sécurité est une réflexion après coup.

Un gros problème est que beaucoup de ces appareils devrait même pas être du tout en ligne. Les entreprises achètent souvent des systèmes qui peuvent leur permettre de contrôler, par exemple, un système de chauffage avec un ordinateur. Comment peuvent-ils se connecter à l’ordinateur de l’installation de chauffage? Plutôt que de les connecter directement, de nombreux départements informatiques se contentent de les brancher sur un serveur Web, par inadvertance, et ainsi les partager avec le reste du monde.

« Bien sûr, il n’y a aucune sécurité sur ces choses », a déclaré Matherly, « Ils ne sont destinés à Internet en premier lieu. »

Heureusement que Shodan…

Les bonnes nouvelles sont que Shodan est presque exclusivement utilisé pour de bonnes choses…

Matherly, qui a terminé Shodan il y a plus de trois ans comme un hobby, a limité les recherches à seulement 10 résultats sans un compte, et 50 avec un compte. Si vous voulez voir tout ce que Shodan a à offrir, Matherly demande plus d’informations sur ce que vous espérez atteindre – et un paiement.

Testeurs de pénétration, professionnels de la sécurité, chercheurs universitaires et des organismes d’application de la loi sont les principaux utilisateurs de Shodan. Quelques mauvais acteurs peuvent l’utiliser comme point de départ, admet Matherly. Mais il a ajouté que les cybercriminels ont généralement accès à des botnets – grandes collections d’ordinateurs infectés – qui sont en mesure de réaliser la même tâche sans détection.

À ce jour, la plupart des cyber-attaques se sont concentrées sur voler de l’argent et la propriété intellectuelle. Les méchants n’ont pas encore essayé de faire du mal en faisant exploser un bâtiment ou de tuer les feux de circulation dans une ville.

Les professionnels de la sécurité ont l’espoir d’éviter ce scénario en repérant ces dispositifs connectés et services utilisant Shodan, et d’alerter ceux qui leur exploitation qu’ils sont vulnérables. Dans le même temps, il ya trop de choses terrifiantes connectés à l’Internet, sans aucune sécurité et qui attendent d’être attaqué.

Lien vers shodan

Cet article est une traduction française d’un article paru sur CNN. L’original est ici

Étiquetteshitech search engine shodan

À propos de l’auteur

Jean-Marc est un développeur, Administrateur Système Linux et DevOps. Quand Il n'est pas sur un ordinateur, vous pouvez le trouver en train de lire, écrire ou profiter du soleil et de la mer. Son pseudo Twitter est @AmonMarc, et vous pouvez le trouver sur github.com/jebog