La reconnaissance passive consiste à recueillir des données sur une cible sans établir de connexion directe. Cette méthode repose sur l'exploitation de ressources publiques, comme les serveurs WHOIS et DNS, ainsi que des plateformes en ligne dédiées. Nous abordons ici les outils fondamentaux : whois, nslookup, dig, complétés par DNSDumpster et Shodan.io.
Reconnaissance Passive vs Active
En reconnaissance passive, l'analyste évite toute interaction avec la cible, agissant comme un observateur distant. Les informations proviennent de sources ouvertes : bases de données publiques, annonces d'emploi, articles de presse, etc. À l'inverse, la reconnaissance active nécessite un contact direct, comme scanner des ports ou tenter des accès non autorisés, ce qui exige des autorisations légales pour éviter des conséquences judiciaires.
Utilisation de l'outil whois
Le protocole WHOIS, défini par la RFC 3912, permet de requêter des serveurs sur le port TCP 43 pour obtenir des détails sur un domaine : registrar, dates de création et d'expiration, serveurs de noms, et coordonnées du propriétaire (souvent masquées par des services de confidentialité). L'outil en ligne de commande s'utilise avec la syntaxe whois DOMAINE.
Exemple avec un domaine fictif :
utilisateur@systeme$ whois cible-exemple.org
[Requête vers whois.registrar-demo.com]
Nom de domaine: cible-exemple.org
Registrar: DEMO REGISTRAR INC
Date de création: 2020-01-15T10:00:00Z
Date d'expiration: 2025-01-15T10:00:00Z
Serveurs de noms: ns1.cible-exemple.org, ns2.cible-exemple.org
Cette sortie révèle des informations exploitables pour des attaques ciblées, comme le phishing ou l'ingénierie sociale, dans le cadre d'un test de pénétration autorisé.
Requêtes DNS avec nslookup et dig
Après avoir obtenu les serveurs de noms via whois, on interroge les bases DNS. L'outil nslookup offre une syntaxe simple : nslookup OPTIONS DOMAINE SERVEUR, où OPTIONS spécifie le type d'enregistrement (A pour IPv4, AAAA pour IPv6, MX pour les serveurs mail).
Exemple de recherche d'enregistrements A avec un serveur DNS public :
utilisateur@systeme$ nslookup -type=A cible-exemple.org 8.8.8.8
Serveur: 8.8.8.8
Adresse: 8.8.8.8#53
Réponse non autoritaire:
Nom: cible-exemple.org
Adresse: 192.0.2.1
Nom: cible-exemple.org
Adresse: 198.51.100.45
Pour des requêtes plus détaillées, l'outil dig (Domain Information Groper) est préférable. Sa syntaxe générale est dig @SERVEUR DOMAINE TYPE.
Comparaison d'une recherche MX :
utilisateur@systeme$ dig cible-exemple.org MX @9.9.9.9
;; QUESTION SECTION:
;cible-exemple.org. IN MX
;; ANSWER SECTION:
cible-exemple.org. 3600 IN MX 10 mail1.cible-exemple.org.
cible-exemple.org. 3600 IN MX 20 mail2.cible-exemple.org.
Dig affiche des métadonnées supplémentaires comme le TTL, utile pour analyser la configuration réseau.
Services en ligne pour l'exploration DNS
Des outils comme DNSDumpster permettent de découvrir des sous-domaines non visibles par les commandes classiques. En recherchant un domaine, ils génèrent des tableaux et diagrammes listant les serveurs DNS, les enregistrements MX, et les adresses IP associées, souvent avec une géolocalisation estimée. Cela aide à identifier des surfaces d'attaque potnetielles, comme des sous-domaines négligés ou mal configurés.
Shodan.io pour l'analyse passive
Shodan.io indexe les périphériques connectés à Internet, collectant des données sur les services exposés (serveurs web, équipements réseau, etc.). En cherchant un domaine ou une adresse IP, on obtient des informations telles que l'hébergeur, la localisation géographique, et les versions logicielles, sans établir de connexion directe. Par exemple, une recherche pour un domaine peut révéler des détails sur son infrastructure hébergée.
Ces techniques passives offrent une vue d'ensemble discrète, essentielle pour les phases initiales d'évaluation de sécurité.