Sécurité digitale : (self-)knowledge is power !

Damien, administrateur système de la société Sihtmark, démarre sa semaine sur les chapeaux de roue. Des serveurs de sa société ont été attaqués durant le weekend et semblent avoir été totalement corrompus. Plus d’accès possible, certains services internes de la société sont paralysés.
Après plusieurs jours d’investigation et de réinstallation, la première conclusion est là : les assaillants s’en sont pris à une version de développement d’un intranet, oubliée depuis les premières versions développées, et exposée par erreur sur Internet. Des informations d’utilisateurs potentiellement valides sur cet intranet ont probablement été compilées à partir de données récoltées sur le web.
Deuxième conclusion : Sihtmark a perdu le contrôle et surtout la connaissance de ce qu’elle expose sur Internet.

Des questions sans réponse complète

Après un tel incident, Damien se pose des questions pourtant simples, mais pour lesquelles les réponses sont incomplètes, ponctuées de “je crois”, “normalement”, “un peu”, “ça devrait être”…
Quels sont les domaines web enregistrés par l’entreprise ? Qui les a achetés, configurés, maintenus ?
Quel est l’historique de tel site web ? Pourquoi l’intranet a été exposé sur Internet ?
Et, si les assaillants ont pu se connecter à l’intranet et y trouver des vulnérabilités, celles-même qui ont amené à la corruption totale des serveurs, comment et où ont-ils trouvé les informations pour y parvenir ?
Des informations confidentielles seraient-elles dispersées sur Internet ?

Iceberg illustration

Un ménage s’impose.
Et surtout, un besoin de faire le tour complet de ce qu’est l’empreinte digitale de Sihtmark. Damien a trouvé une solution pour cela : un audit de reconnaissance.

Un audit pour des sociétés ayant un minimum d’historique

Une startup créée il y a 3 mois n’aura à priori que peu d’intérêt à aller vers ce type d’audit. En effet, plus une société est récente, moins son empreinte digitale sera élevée et moins son historique technique sera profond.


A l’extrême opposé, une société ou un groupe existant depuis de nombreuses années telle que Sihtmak et présentant un turnover important de son personnel aura un potentiel très élevé lors de la recherche d’informations la concernant. Son empreinte numérique sera d’autant plus importante que sa digitalisation est avancée (présence sur Internet, activité digitale par nature, utilisation d’outils web…).

Un audit sans aucun risque (mis à part des découvertes surprenantes)

Après les sueurs froides et les interruptions de service subies par Sihtmark, Damien a besoin d’un peu de repos et ne peut plus prendre le risque de perturber le fonctionnement de l’entreprise.
Par nature, un audit de reconnaissance ne comprend pas d’attaques techniques violentes sur la cible étudiée.
Là où un audit de type “pentest” (test d’intrusion) cherche à pénétrer dans l’infrastructure visée, l’audit de reconnaissance tourne autour de la cible, en se limitant à effleurer sa surface.

digital fingerprint security audit illustration
L’objectif est simple : savoir à quoi ressemble la partie immergée de l’iceberg. L’idée que nous connaissons tout de notre entreprise et de sa vie digitale est loin.
Ce que Damien cherche à savoir sur sa société, dans les grandes lignes : qui dans son entreprise est identifiable, et comment; quels documents et données sensibles ou utiles; cartographie digitale des services visibles; quelles vulnérabilités évidentes sont présentes; données cachées, non indexées par les moteurs classiques.

Et le tout pas seulement dans le présent, mais aussi dans le passé. Sur internet, la mémoire est parfois meilleure que celle d’un éléphant.

Un audit sans risque donc, si l’on met de côté les frayeurs provoquées par la découverte d’éléments… inattendus ?

Après l’audit réalisé par son prestataire, Damien fait des découvertes étonnantes, et malheureusement assez fréquentes pour une société de la taille de Sihtmark :

  • Données métier confidentielles divulguées par un des fournisseurs
  • Domaines web oubliés depuis plusieurs années et anciens services encore actifs sur des serveurs (notamment des CMS non à jour et installés sur des serveurs sensibles)
  • Comptes de messagerie email professionnels compromis
  • Données de test oubliées ça et là.

Maintenir une connaissance complète des services digitaux exposés par l’entreprise ainsi que des données qui y sont liées est assez complexe, notamment dans des environnements en mutation et lorsque plusieurs personnes se succèdent dans les différents services de l’entreprise.

L’objectif de l’audit de reconnaissance est de déterminer l’empreinte digitale de votre entreprise sur Internet.
Enregistrements DNS, IPs, services, emails, traces laissées par votre personnel, présence sur le darknet… nous dressons une cartographie complète de votre présence.