Le moteur de recherche le plus effrayant du Net

Et si un jour on inventait un moteur de recherche d’un genre nouveau, qui au lieu de vous fournir une simple page Web comme Google ou Bing, vous dévoile des détails plus sensibles sur un dispositif connecté à internet, tels que les adresses IP, leurs ports ouverts, et même leurs vulnérabilités potentielles…

En fait, ce moteur de recherche existe déjà! Il s’appelle « Shodan ».

Souvent surnommé « le moteur de recherche le plus effrayant du Net » par son créateur John Matherly, Shodan est un outil puissant qui n’indexe pas les pages Web cette fois, non, mais tout ce qui est connecté à Internet en temps réel.

Dans cet exemple j’ai lancé une recherche sur les serveurs Nextcloud (un serveur de fichiers) qui serait exposé sur internet. La recherche peut se limiter à un pays ou une ville. Comme nous pouvons le constater, Shodan les liste, et les classe par pays…

Son fonctionnement repose, tout comme son cousin Français « Onyphe », sur un scan automatique de tout dispositifs connectés à Internet, en ciblant des ports déterminés pour voir s’ils sont accessibles et non protégés. Il identifie les technologies en place, détecte les vulnérabilités et, le cas échéant, les détails de ces appareils sont indexés et sont mis à disposition de… tout le monde. Il dispose de nombreux filtres de recherche permettant de rechercher précisément un service, un port ouvert au sein d’une ville, d’une organisation.

On à même droit à une carte avec leurs localisation…

En d’autres termes, Shodan permet de découvrir en temps réel des milliers d’appareils connectés à Internet, tels que des routeurs, des webcams ou des systèmes industriels, des serveurs privés ou publics, qui sont souvent mal protégés. De simples recherches peuvent mener à l’accès non sécurisé à des infrastructures essentielles comme les systèmes électriques, les stations d’eau, et même des installations publiques.

Bien que Shodan puisse être utilisé à des fins malveillantes, il n’est pas illégal en lui-même. En réalité, la responsabilité incombe aux entreprises qui ne protègent pas correctement leurs systèmes.

Selon le RGPD, le règlement européen sur la protection des données, les entités sont tenues de protéger adéquatement leurs systèmes, en particulier lorsqu’ils contiennent des données sensibles.

Le débat demeure : faut-il craindre Shodan et d’autres scanneurs manuels et automatiques qu’utilisent les experts en cybersécurité ou les utiliser comme un outil pour améliorer la sécurité de nos infrastructures?

Selon moi, il est essentiel d’insister sur l’importance de sécuriser activement les systèmes d’information et de traiter cette question avec le sérieux qu’elle mérite, plutôt que de s’attaquer aux outils comme Shodan, Onyphe ou de s’en prendre aux chercheurs en cybersécurité.