Avant le casse, il y a le repérage
Au centre commercial « Les Arcades », personne ne force le rideau de la bijouterie sans avoir préparé son coup. Les billets précédents racontaient ce repérage du point de vue des vigiles, du PC sécurité, des caméras. Cette fois, on change de chaise. On s'assoit du côté de celui qui observe.
Il vient plusieurs fois en simple client. Il note les horaires d'ouverture, le moment où le vigile part en pause, les sorties de secours, le rythme des rondes. Il photographie le plan du centre affiché à l'entrée. Tout cela se fait à distance, sans jamais toucher une porte ni éveiller le moindre soupçon.
Puis vient une seconde phase, plus risquée. Il pousse discrètement certaines portes pour voir lesquelles sont ouvertes, teste si le local technique est verrouillé, vérifie quelles issues donnent sur la galerie. Là, il laisse des traces. Quelqu'un pourrait le voir faire.
La reconnaissance, c'est ce travail invisible qui précède toute attaque. En pentest, c'est la première phase d'une méthodologie cadrée, et c'est elle qui détermine la suite.
Côté informatique, ce repérage a un nom et un cadre. Un test d'intrusion (pentest) est une simulation d'attaque autorisée, menée pour trouver les failles avant qu'un vrai attaquant ne les trouve. Il suit une méthode reconnue, par exemple le PTES (Penetration Testing Execution Standard), qui découpe la mission en phases successives.
Ces phases vont de l'engagement initial à la rédaction du rapport. Au milieu, deux étapes nous intéressent ici : la reconnaissance passive (observer sans toucher, comme le faux client) et la reconnaissance active (sonder la cible, comme tester les portes). Avant tout cela, une question domine tout le reste : a-t-on le droit ?
Le cadre : sans autorisation, ce n'est pas un pentest
La différence entre un pentester et un cambrioleur ne tient pas aux outils. Les deux observent, sondent, cherchent les points faibles. La différence tient à un papier signé.
Aux Arcades, un audit de sécurité commandé par la direction, c'est un expert mandaté qui teste les serrures avec l'accord du propriétaire et un périmètre écrit. Le même geste, sans mandat, c'est une effraction. Le repérage qui précède un vrai braquage est, lui aussi, déjà un délit.
Un test d'intrusion sans autorisation écrite n'est pas un pentest, c'est une intrusion illégale. Le périmètre et les règles d'engagement définissent ce qui est permis, et tout le reste est interdit.
En France, accéder ou se maintenir frauduleusement dans un système d'information est réprimé par le code pénal (articles 323-1 et suivants). L'autorisation du propriétaire du système est ce qui transforme l'acte en prestation légale. Cette autorisation prend la forme d'un document contractuel précis.
Trois éléments structurent ce cadre.
Le périmètre liste ce qui peut être testé : quelles adresses IP, quels domaines, quelles applications. Tout ce qui n'y figure pas est hors limite, même si une faille tentante apparaît à côté.
Les règles d'engagement fixent les modalités : fenêtres horaires autorisées, techniques interdites (par exemple le déni de service), contacts d'urgence, conduite à tenir si une donnée sensible est découverte.
Le niveau d'information fourni au testeur définit le type de test.
| Type de test | Information donnée au testeur | Ce que ça simule |
|---|---|---|
| Black box | Aucune, juste une cible | Un attaquant externe qui part de zéro |
| Grey box | Partielle (un compte, un plan réseau) | Un attaquant ayant déjà un pied dedans, ou un utilisateur malveillant |
| White box | Complète (code source, architecture, accès) | Un audit en profondeur, du point de vue d'un initié |
Un test en boîte noire ressemble le plus au repérage du cambrioleur : on part de l'extérieur, sans rien savoir. C'est là que la reconnaissance prend tout son poids, parce qu'il faut tout découvrir soi-même.
Reconnaissance passive : observer sans toucher
La reconnaissance passive consiste à collecter de l'information sur la cible sans interagir directement avec ses systèmes. Le faux client des Arcades qui note les horaires depuis la galerie ne déclenche aucune alarme : il regarde ce qui est déjà visible.
En sécurité, cette collecte d'informations ouvertes porte un nom : l'OSINT (Open Source Intelligence), le renseignement à partir de sources publiques. Tout ce qu'une organisation laisse traîner sur Internet devient matière première.
La force de la reconnaissance passive, c'est sa discrétion : la cible ne peut pas détecter qu'on l'observe, parce qu'on ne touche jamais ses systèmes. On lit ce qu'elle expose déjà.
Les sources sont nombreuses et souvent banales. Un site web institutionnel révèle des noms, des fonctions, des adresses e-mail dont on déduit la convention de nommage. Les enregistrements DNS publics et les bases WHOIS exposent des domaines, des sous-domaines, parfois des serveurs oubliés. Les offres d'emploi décrivent la pile technique recherchée, donc les technologies en place.
Un outil revient sans cesse dans cette phase : Shodan, un moteur de recherche qui indexe non pas des pages web, mais des services exposés sur Internet. Là où un moteur classique cherche du contenu, Shodan répond à la question « quels équipements et quels services sont accessibles publiquement ? ». Serveurs, caméras, bases de données, interfaces d'administration : tout ce qui répond sur une adresse publique peut s'y retrouver répertorié.
Le tableau suivant met en regard quelques sources OSINT et le type d'information qu'elles livrent.
| Source OSINT | Information typiquement obtenue |
|---|---|
| Site web et mentions légales | Noms, fonctions, format des adresses e-mail |
| WHOIS et DNS public | Domaines, sous-domaines, serveurs de messagerie |
| Shodan | Services et ports exposés, bannières, versions affichées |
| Offres d'emploi | Technologies et logiciels utilisés en interne |
| Réseaux sociaux professionnels | Organigramme, prestataires, projets en cours |
| Fuites de données publiques | Identifiants ou e-mails déjà compromis ailleurs |
À ce stade, l'attaquant n'a touché à rien. Il a pourtant dressé un portrait précis de sa cible : qui y travaille, quelles technologies tournent, quels services pointent vers Internet. C'est la surface d'attaque qui commence à se dessiner, l'équivalent du plan du centre commercial et de sa signalétique.
Reconnaissance active : sonder la cible avec nmap
Vient le moment de tester les portes. Le repéreur ne se contente plus d'observer la galerie : il pousse des poignées, vérifie quelles serrures résistent. Le geste est plus informatif, mais il laisse des traces, et un vigile attentif peut le remarquer.
C'est la reconnaissance active. Le testeur envoie des paquets vers les systèmes de la cible et analyse les réponses. Contrairement à l'OSINT, cette interaction est détectable : elle apparaît dans les journaux, peut déclencher un IDS, et figure d'ailleurs comme première étape de la kill chain côté défenseur.
La reconnaissance active répond à une question simple : parmi tout ce qui est exposé, qu'est-ce qui est réellement ouvert, et qu'est-ce qui tourne derrière ? C'est là qu'intervient nmap.
L'outil de référence pour cette phase est nmap (Network Mapper), un scanner réseau libre et documenté. Il sert trois objectifs complémentaires.
D'abord, la découverte d'hôtes : déterminer quelles machines sont actives sur une plage d'adresses. Inutile de sonder en détail une adresse qui ne répond pas.
Ensuite, le scan de ports : pour chaque hôte vivant, identifier les ports ouverts. Un port ouvert, c'est une porte qui répond. Le port 22 suggère du SSH, le 443 du HTTPS, le 3306 une base MySQL.
Enfin, la détection de services et de versions : derrière un port ouvert, nmap tente d'identifier le logiciel qui écoute et sa version. Cette information est précieuse pour la suite, car une version connue se rapproche d'une liste de vulnérabilités connues (le sujet des billets sur les CVE).
Voici à quoi ressemblent ces étapes en ligne de commande, sur une cible explicitement autorisée par le périmètre de mission.
# Découverte d'hôtes : qui est vivant sur le réseau ? (-sn = pas de scan de ports)
nmap -sn 192.168.1.0/24
# Scan des ports d'un hôte, avec détection de services et de versions (-sV)
nmap -sV 192.168.1.10
# Scan plus complet : détection de versions et identification du système (-O)
nmap -sV -O 192.168.1.10
Le drapeau -sn limite nmap au balayage d'hôtes, sans toucher aux ports. Le drapeau -sV active la détection de version sur les ports ouverts. Le drapeau -O tente d'identifier le système d'exploitation à partir du comportement réseau de la machine. Tous ces drapeaux figurent dans la documentation officielle de nmap.
Ces phases ne flottent pas dans le vide. Elles s'enchaînent dans la méthodologie PTES, qui ordonne la mission du premier contact jusqu'au rapport.
et cadrage"] --> B["2. Reconnaissance
(OSINT, passif)"] B --> C["3. Scan
(nmap, actif)"] C --> D["4. Exploitation"] D --> E["5. Post-exploitation"] E --> F["6. Rapport"] classDef cadre fill:#ede9e1,stroke:#b5651d,color:#1a1a1a classDef recon fill:#d89253,stroke:#8a4d16,color:#1a1a1a classDef offensif fill:#b5651d,stroke:#8a4d16,color:#f5f2ec classDef rapport fill:#a0413e,stroke:#8a4d16,color:#f5f2ec class A,F cadre class B recon class C,D,E offensif
La reconnaissance (passive puis active) occupe les phases 2 et 3. Tout part d'un cadrage signé, et tout se conclut par un rapport remis au client. L'exploitation, qui consiste à utiliser réellement une faille, n'arrive qu'après, et seulement dans les limites du périmètre. Pour le volet applicatif, l'OWASP Web Security Testing Guide détaille la même logique appliquée aux sites et aux API.
Scénario réel : des services exposés trouvés par reconnaissance
La reconnaissance passive n'est pas une vue de l'esprit. Elle suffit, à elle seule, à révéler des expositions concrètes, sans jamais lancer la moindre attaque.
Le cas le plus documenté concerne les bases de données exposées sans authentification. Des serveurs MongoDB, ElasticSearch ou Redis, mal configurés, ont été déployés directement accessibles depuis Internet, sans mot de passe, parfois par simple oubli d'une option par défaut. N'importe qui connaissant l'adresse pouvait s'y connecter et lire les données.
Le chercheur en sécurité Victor Gevers, de la fondation néerlandaise GDI.Foundation, a documenté pendant des années la découverte de tels serveurs ouverts via des moteurs comme Shodan, puis le signalement responsable aux organisations concernées. Sa démarche illustre exactement la frontière du sujet : trouver l'exposition relève de la reconnaissance passive ; signaler plutôt qu'exploiter relève de l'éthique et du cadre légal.
Une base de données ouverte sur Internet est trouvable par n'importe qui avant la moindre tentative d'intrusion. La reconnaissance passive ne crée pas la faille, elle la rend visible. La question n'est jamais « est-ce trouvable », c'est « qui le trouve en premier ».
Le mécanisme est toujours le même. Un service est mis en ligne avec une configuration par défaut trop permissive. Un moteur d'indexation de services le répertorie, parce qu'il répond publiquement. Une recherche ciblée le fait remonter. À aucun moment il n'a fallu forcer quoi que ce soit : le service s'annonçait lui-même.
C'est précisément ce qu'un pentester cherche en reconnaissance, mais dans un cadre autorisé. Trouver l'interface d'administration oubliée, la base de test laissée ouverte, le serveur de préproduction exposé : autant de portes que le client ignorait avoir laissées entrouvertes. La valeur de la mission tient là, dans le fait de les recenser avant qu'un acteur malveillant ne s'en serve.
Aux Arcades, c'est le faux client qui repère qu'une issue de secours ferme mal. Un audit mandaté le signale au gérant pour qu'il la répare. Sans mandat, c'est l'information qui prépare le braquage. Le même constat, deux intentions opposées, et c'est l'autorisation qui les sépare.
Points clés
- Un pentest est une attaque simulée et autorisée ; sans autorisation écrite, périmètre et règles d'engagement, c'est une intrusion illégale.
- La méthodologie (PTES, OWASP WSTG) ordonne la mission en phases ; la reconnaissance est la première, avant toute exploitation.
- La reconnaissance passive (OSINT, Shodan, WHOIS) collecte de l'information publique sans toucher la cible, donc sans être détectable.
- La reconnaissance active (nmap) sonde réellement les systèmes pour trouver hôtes vivants, ports ouverts et versions de services ; elle est détectable et laisse des traces.
- Des services exposés sans authentification sont trouvables par simple reconnaissance passive : le pentest sert à les recenser dans un cadre légal, avant un attaquant réel.
Dans la série
Palier 3 : Tenir la galerie. Domaine : Détection & réponse.
- Précédent : CTI, IOC et réponse à incident
- Suivant : La gouvernance de la sécurité
- Vue d'ensemble : Par où commencer dans Les Arcades
Pour aller plus loin
- Penetration Testing Execution Standard (PTES) : la méthodologie de référence, phase par phase.
- OWASP Web Security Testing Guide : la même logique appliquée aux applications web et aux API.
- Documentation officielle de nmap : le manuel complet des options de scan.
- CTI, IOC et réponse à incident : le billet précédent, côté défensif, sur le renseignement et la remédiation.
- Cyber Kill Chain et MITRE ATT&CK : où la reconnaissance s'inscrit dans l'anatomie complète d'une attaque.
- CVE, CVSS et zero-day : ce qu'on fait des versions de services repérées pendant le scan.
- Qu'est-ce que le DevSecOps ? : intégrer ces tests dans le cycle de vie logiciel plutôt qu'en fin de course.