Pourquoi les moteurs de recherche sont-ils si prisés par les cybercriminels ?

Les moteurs de recherche disposent des fonctionnalités très prisées par les cybercriminels afin de préparer des intrusions. Ils disposent de commandes spéciales qui permettent de révéler des informations cachées et de trouver très rapidement des systèmes potentiellement vulnérables.

Prenons l’exemple de Google

L’exploitation des moteurs de recherche comme outil de piratage remonte déjà à quelques années. En 2002, Johnny Long a commencé à collecter des requêtes de recherche Google intéressantes qui ont révélé des systèmes vulnérables ou des divulgations d’informations sensibles. Il les a appelé « dorks Google ».

Ces requêtes permettent de trouver des cibles vulnérables par l’utilisation de mots-clés spécifiques. Ainsi il est possible de découvrir des noms d’utilisateur / mots de passe, des versions logicielles vulnérables, des listes de diffusion, des documents sensibles et des vulnérabilités liées aux sites Web. De nombreux sites tels que https://www.exploit-db.com/google-hacking-database partagent des exemples de requêtes / mots-clés à utiliser.

Les cybercriminels peuvent utiliser ces requêtes  pour trouver des sites web vulnérables lors de la diffusion d’une vulnérabilité. Récemment une vulnérabilité critique affectant le CMS[1] WordPress a été découverte et très rapidement des millions de sites vulnérables ont été piratés. Les attaquants ont ainsi exploité le moteur google pour trouver des sites WordPress possédant une version du module vulnérable.

Figure 1 Exemple de requête google pour trouver les sites WordPress avec un plugin particulier

Néanmoins il existe d’autres moteurs de recherche avec des fonctionnalités encore plus dangereuses.

Allons un grand cran plus loin , avec le moteur de recherche Shodan et consorts moins connus du grand public

Alors que Google et les autres moteurs de recherche n’indexent que le Web, un autre moteur de recherche répertorie et référence le résultat de balayages de ports massifs (technique servant à rechercher les services disponibles) de tout type d’équipement relié à Internet : équipements réseaux, base de données, installations industrielles, appareils médicaux, feux de circulation, éoliennes, lecteurs de plaques d’immatriculation, téléviseurs intelligents, réfrigérateurs.

Ce moteur, crée en 2002 et nommé Shodan, permet aux attaquants de trouver des données sensibles ainsi que des équipements et des logiciels vulnérables.

Figure 2 Requête shodan pour trouver les bases MongoDB sans authentification

Depuis Shodan, de nombreux moteurs de recherche ayant des fonctionnalités similaires sont apparus : Censys, Zoomeye, BinaryEdge, etc.

Quelques astuces utiles pour vous protéger !

Il existe des recommandations générales et spécifiques à appliquer afin de limiter les risques liés à l’utilisation malveillante des moteurs de recherche.

De façon générale, voici les principales recommandations à suivre

• Maintenir à jour et appliquer dès que possible les correctifs de sécurité
• Durcir la configuration de tous ses systèmes exposés
  • Suppression des messages d’erreurs et des fichiers installés par défaut
  • Anonymisation des bannières logicielles
  • Mise en place de protection contre les scans automatisés (fail2ban, modules web contre l’envoi massif de requêtes, etc.)
  • Protection des interfaces d’administration (ne les rendre accessibles que depuis les réseaux internes/connus et aux personnels habilités)
  • Ne donner l’accès qu’aux services utiles et utilisés (filtrer les autres services non nécessaires)
• Auditer régulièrement tous ses systèmes exposés sur Internet afin de détecter d’éventuelles vulnérabilités (correctifs manquants, erreurs de configuration, fuites de données sensibles)
• Réaliser une veille régulière des nouvelles vulnérabilités
• Utiliser les mêmes outils que les attaquants afin de détecter d’éventuelles vulnérabilités et réaliser des pentests

Il existe également des recommandations spécifiques à l’encontre des  moteurs de recherche

Il est possible de bloquer l’indexation de ses équipements connectés en filtrant les moteurs de recherche :

• Shodan : Sur Internet, il existe une liste des IPs utilisées lors des scans (https://wiki.ipfire.org/configuration/firewall/blockshodan) ; il est possible d’utiliser des scripts afin de créer une liste noire dynamique lors des tentatives de scan (https://github.com/romcheckfail/shodan-ip-block-list)
• Censys : La liste des adresses IPs utilisées lors des scans est disponible ici : https://support.censys.io/hc/en-us/articles/360038378552-Frequently-Asked-Questions-FAQ-
• Zoomeye : Il n’existe pas de liste noire des adresses IPs utilisées et ZoomEye ne fournit pas de procédures pour bloquer ses scans.
• BinaryEdge : Les procédures pour bloquer les scans sont disponibles ici : https://docs.binaryedge.io/

[1] Système de gestion de contenu ou SGC est une famille de logiciels destinés à la conception et à la mise à jour dynamique de sites Web ou d’applications multimédia

Autres articles susceptibles de vous intéresser