Image de l’auteur/autrice Publié par : charly 10 Nov

Shodan.io : le moteur de recherche qui voit (presque) tout sur Internet

La réalité cyber est locale : une simple recherche Shodan sur “Bressuire” expose bien plus que des IP ou des ports. On y trouve des équipements métiers (serveur web Jetty, imprimante Samsung, routeur Mikrotik…), des détails lan, hostnames, et surtout des noms d’entreprises comme “Graphic” qui permettent un recoupement ultra rapide pour un pirate.

Shodan : le premier outil de reconnaissance… et d’attaque

Shodan scanne le web mondial, indexe les ports ouverts, les bannières techniques, le nom des services, parfois l’organisation propriétaire. Pour un hacker, cela donne un catalogue d’accès direct, avec parfois la capacité d’identifier en quelques clics l’entreprise derrière l’équipement exposé.

Détails de la capture + scénario d’attaque pour chaque équipement

1. MikroTik / Graphic

Ce qui est visible :

  • Hostname “graphic”, géolocalisation Bressuire, IP publique, port PPTP ouvert.

Comment le pirate entre :

  • Il lance une recherche “Bressuire” sur Shodan et repère le hostname “graphic”.​
  • Une recherche internet (“Graphic Bressuire”) lui donne aussitôt le site web de la société, parfois le mail, et l’activité même du propriétaire.
  • Il cible ensuite le routeur : tente les identifiants par défaut (MikroTik est connu pour ses failles historiques), cherche la version du firmware dans la bannière pour voir s’il existe des CVE applicables, puis lance des outils de brute-force sur SSH/Winbox/API… ou essaye des exploits publiés si la version n’est pas à jour.
  • Si l’accès est obtenu, il pivote sur le LAN : prise de contrôle, rebond botnet, écoute SNMP, scan interne pour identifier d’autres failles.

Résolutions détaillées :

  • Renommer l’équipement et bannière pour effacer toute référence à Graphic ou Bressuire.
  • Changer tous les mots de passe admin, désactiver services inutiles, firewall strict en whitelist d’IP de management.
  • Mettre à jour le firmware MikroTik ; activer alertes et logs sur tous accès extérieurs.
  • Passer SNMP à SNMPv3, retirer la config publique.
  • Tester les accès WAN (Winbox, SSH, API, Telnet : tout ce qui n’est pas utile doit être coupé).
  • Segmenter le LAN pour que tout accès pirate soit limité au routeur.

2. Serveur Jetty (Communauté de communes)

Données exposées :

  • Bannière indiquant la commune, mail technique, SNMP, IP.

Méthode pirate :

  • Il détecte l’orga et mail, lance des scripts pour le port HTTP/Jetty (scan de vulnérabilité, brute-force admin), tente identifiants par défaut/reconnaissance.
  • Utilise les contacts pour du phishing ultra-ciblé, se fait passer pour l’IT ou le support.
  • Si accès admin Jetty, il peut lire/falsifier les données, injecter des scripts ou installer des backdoors.

Résolutions :

  • Restreindre l’accès à l’interface Jetty web par VLAN/IP locaux, désactiver les access publics.
  • Activer HTTPS/TLS et nettoyer la bannière des infos d’orga/société/mail.
  • Changer tous les mots de passe, supprimer les comptes inutiles.
  • Désactiver SNMP en externe, limiter aux accès locaux.
  • Audit RGPD et revue des configs exposées.

3. Imprimante Samsung / Orange

Détails exposés :

  • Hostname domaine technique, modèle, firmware et date session.

Scénario pirate :

  • Il scanne SyncThru sur Shodan, identifie l’imprimante, tente l’accès par brute-force ou défaut admin web.
  • Si réussi, configuration réseau accessible, extraction de documents imprimés ou usurpation de la passerelle d’impression.

Contremesures :

  • Couper tout accès WAN/public au web service de l’imprimante.
  • Mettre un mot de passe fort sur le SyncThru et désactiver comptes invités.
  • Isoler l’imprimante sur un VLAN dédié, surveiller les logs d’accès.
  • Mettre systématiquement à jour le firmware du constructeur.

4. VoIP/PPTP / Orange

Données exposées :

  • Hostname “BRESSUIRE ALIP XDSL VOIP”, domaine technique, firmware.

Méthode pirate :

  • Il repère le port PPTP ouvert, tente usurpation SIP/VoIP, lance des attaques sur le VPN (tunnels non chiffrés).
  • Peut s’infiltrer et pivoter sur le réseau téléphonique ou préparer un rebond sur d’autres machines connectées via VoIP.

Résolutions :

  • Migrer de PPTP vers un protocole sécurisé (WireGuard/OpenVPN).
  • Firewall sur toutes IP extérieures, whitelist sur les équipements VoIP.
  • Changer le hostname de tous les équipements pour masquer la ville/site.
  • Mettre à jour firmwares, journaliser tous accès extérieurs.
  • Chiffrer toute communication VoIP.

Points clés à retenir

  • Avec Shodan, il suffit d’une bannière, d’un nom, d’un hostname pour lier un équipement à sa société réelle et en déduire la cible suivante.
  • La méthode pirate commence toujours par la reconnaissance : chercher ce qui est exposé, identifier l’organisation, et exploiter la chaîne technique (mots de passe, failles firmware, protocoles faibles).
  • Changer les noms, masquer la bannière, filtrer et monitorer tous les accès, mettre à jour les équipements : c’est la clé pour éteindre la portée des attaques les plus simples.

En conclusion :
Un scan Shodan à Bressuire permet d’identifier la société Graphic, de voir comment un pirate réagit, et d’adapter la configuration pour boucher tous ces trous.
N’attendez pas d’être la prochaine cible ! Faites vos propres scans, appliquez chaque recommandation, et sensibilisez vos collègues et clients.​​

Tweetez
Partagez
Épingle
Partagez
0 Partages