Présentation courte : Reconnaissance réseau à grande échelle : port scan is not deadAdrien Guinet,Fred Raynal

Depuis que les réseaux existent, les gens regardent le voisinage de leur propre machine à la recherche de tout et n'importe quoi. On a vu ainsi émerger différentes techniques dont la plus fameuse et toujours d'actualité reste le scan de ports.


Historiquement, l'outil de référence, nmap, proposait une puis des techniques pour tester qu'un service était accessible sur un réseau, en TCP, puis UDP. Il ajouta de nombreuses autres options, de l'OS fingerprinting via la reconnaissance de la pile IP au banner grabbing en passant par des scripts en LUA.


Toute personne qui s'intéresse à la sécurité est un jour confronté à ce couteau suisse du scan de ports, et s'amuse à scanner son voisin, Google, et quelques autres domaines plus ou moins avouables. Vient ensuite le temps de la maturité où, en tant que pentesteur, cet outil devient le quotidien marquant le début de chaque nouveau test.


Cependant, la reconnaissance réseau va beaucoup plus loin que scanner 2-3 machines. Les réseaux supportent aujourd'hui des débits bien plus importants, et on voit apparaître des outils comme zmap ou massscan permettant de scanner de très grands réseaux très rapidement.


La présentation s'articulera autour de ces questions :

  • Comment définir une cible précise sur Internet ? (une entreprise, un organisme, un gouvernement...)
  • Quels résultats acquérir ?
  • Comment scanner rapidement et de manière fiable ces cibles ?
  • Comment stocker et analyser ces résultats ?

Plusieurs cas d'études seront présentés :

  • Ciblage d'une entité
  • Recherche de services vulnérables
  • Récupération de clés publiques
  • "Monitoring" de réseaux