Cybersécurité
Shodan: à la frontière de la légalité et de l’éthique?
18 novembre 2024

Shodan: à la frontière de la légalité et de l’éthique?

Je ne sais pas si vous êtes au courant, mais il existe un moteur de recherche qui, contrairement aux moteurs de recherche traditionnels tels que Google ou Bing, explore les dispositifs connectés sur internet, révélant ses détails sensibles tels que les adresses IP, les ports exposés, les technologies utilisées, et même leurs vulnérabilités potentielles…

Et oui. Il s’appelle « Shodan ».

Surnommé comme « Le moteur de recherche le plus effrayant du Net » par son créateur John Matherly lui-même, #Shodan est un outil puissant qui n’indexe pas les pages Web cette fois, mais tout ce qui est connecté à Internet en temps réel.

Dans cet exemple j’ai lancé une recherche sur les serveurs Nextcloud qui seraient exposé sur internet. La recherche peut se limiter à un pays ou une ville, comme vous pouvez le constater, Shodan les liste et les classe par pays, ville etc…

Son fonctionnement repose sur un scan automatique de tout dispositifs connectés à Internet, en ciblant des ports déterminés pour voir s’ils sont accessibles et non protégés.

Il identifie les technologies en place, détecte les vulnérabilités et, le cas échéant, les détails de ces appareils sont indexés et sont mis à disposition de… tout le monde. Il dispose de nombreux filtres de recherche permettant de rechercher précisément un service, un port ouvert au sein d’une ville, d’une organisation…

Shodan ne s’arrête pas là, il va plus loin en fournissant une carte géographique des dispositifs détectés. Cette carte permet de visualiser où se trouvent les appareils connectés et potentiellement vulnérables dans le monde entier. Cela inclut des routeurs, webcams, systèmes industriels, serveurs privés ou publics, et bien plus encore. Des recherches simples peuvent révéler des infrastructures critiques comme les systèmes électriques, les stations d’eau, et même des installations publiques…

Ces données ne sont pas simplement collectées, mais elles sont stockées, consultables et revendues à prix fort !

On a même droit à une carte avec leurs localisations…

Dois-je m’inquiéter ? Oui et non.


« Google crawls for websites. I crawl for devices »- John Matherly

« Je ne considère pas mon moteur de recherche comme effrayant », déclarera Matherly plus tard. « C’est effrayant qu’il y ait des centrales électriques connectées à Internet. »

Dans l’article de #Forbes datant de 2013, Kashmir Hill va plus loin:

« Plutôt que d’être poursuivi, Matherly devrait être récompensé pour avoir attiré l’attention sur les erreurs incroyablement stupides commises par les entreprises de gadgets lors de la configuration de leurs produits, ainsi que sur l’inattention des consommateurs concernant la sécurité des produits qu’ils achètent. Tout ce qui se connecte à Internet devrait être protégé par un mot de passe, ce qui n’est souvent pas le cas. De plus, ces appareils ne devraient pas être livrés avec un nom d’utilisateur et un mot de passe par défaut, bien que beaucoup le soient. »

Alors, Merci John ?

Les dilemmes juridiques et moraux

Shodan, par sa nature même, se situe à l’intersection de la légalité et de la moralité.

Bien que Shodan puisse être utilisé à des fins malveillantes, il n’est pas illégal en lui-même et soulève, à mon avis, des questions de responsabilités un peu complexes, notamment sur le plan juridique et moral.

En réalité, j’irais jusqu’à dire, comme Matherly et Hill, que la responsabilité incombe aux entreprises qui ne protègent pas correctement leurs systèmes. Non?

Selon le RGPD, le Règlement européen sur la protection des données, les entités sont tenues de protéger adéquatement leurs systèmes, en particulier lorsqu’ils contiennent des données sensibles.
De plus, le manquement à la sécurité est réprimé par le Code Pénal : Art. 226-17.


D’après les différentes informations disponibles sur internet, Shodan se « contenterait » de scanner les dispositifs connectés à Internet, un peu comme les moteurs de recherche traditionnels scannent les pages web.


Dans de nombreux pays, notamment en France, accéder à un système sans autorisation est illégal. Toutefois, Shodan n’accède pas réellement aux systèmes, dit-on, mais « se contente de lire les bannières de services visibles publiquement », ce qui lui permet de rester dans une zone grise légale et la responsabilité repose souvent sur les utilisateurs de Shodan…


Prenons exemple d’un « hacker » bienveillant, ou « white hat », qui scanne des ports pour identifier des vulnérabilités et alerter les propriétaires des systèmes, il semblerait que la situation juridique pour lui est plus que précaire. Les lois sur la cybercriminalité en France sont strictes et aucune distinction n’est faite entre intentions malveillantes et bienveillantes. Même si l’intention est de sécuriser les systèmes, scanner des ports sans permission peut être considéré comme une intrusion non autorisée, et des poursuites peuvent être engagées même en l’absence de dommages intentionnels.


Sur le plan moral, l’existence de Shodan soulève des questions sur l’équilibre entre la sécurité collective et les risques potentiels. Certes, en rendant visible les dispositifs vulnérables, Shodan pousse les administrateurs de systèmes à améliorer la sécurité de leurs infrastructures, contribuant ainsi à une meilleure sécurité globale. Mais ces informations peuvent aussi être utilisées par des acteurs malveillants pour cibler des systèmes vulnérables, posant ainsi la question légitime de la responsabilité morale de rendre de telles informations accessibles à tous.


Scanner les ports d’un système sans autorisation, même à des fins de recherche, est une pratique éthiquement discutée et discutable. La clé de la moralité pour moi, dans ce contexte, est le consentement. Scanner un système sans autorisation viole le principe de consentement et peut être considéré comme une intrusion dans la vie privée. L’intention derrière le scan est importante, mais les conséquences potentielles doivent être tout autant.




La vraie vie






La différence de traitement entre Shodan et les hackers bienveillants illustre bien les complexités des cadres juridiques et éthiques actuels en France.


Alors que Shodan est perçu comme un outil d’analyse passive opérant dans une zone grise légale, les hackers bienveillants se retrouvent souvent piégés (et parfois derrière les barreaux) par des lois strictes, et parfois dépassées, qui ne font pas de distinction entre intentions et actions.


Il serait grand temps de trouver un équilibre qui protège à la fois les systèmes et les chercheurs.


Il est temps aussi de se mettre au travail, et sécuriser activement nos infrastructures.


Et pour finir, il est grand temps de traiter cette question avec tout le sérieux qu’elle mérite, plutôt que de s’attaquer aux outils de scan et de s’en prendre à des petits gars qui ne cherchent qu’à protéger.







			
 
 
Florian Dudaev		
 





0				













Laisser un commentaire 
Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *
 
 



 


 


 
 
 


	














" Le savoir est la seule richesse que l'on puisse entièrement dépenser sans en rien la diminuer. "

A. Hampaté Bà


Articles récents
Catégories



Commentaires récents
Aucun commentaire à afficher.
Archives