Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

/0 : Pourquoi des pirates et entreprises de cybersécurité scannent tout Internet (en IPv4)

On fait moins les malins en IPv6 !

/0 : Pourquoi des pirates et entreprises de cybersécurité scannent tout Internet (en IPv4)

Pourquoi se limiter quand il est désormais facile et relativement peu couteux de scanner l’intégralité des adresses IP d’Internet ? Deux approches différentes : des pirates à la recherche de faille de sécurité et des sociétés de cybersécurité à la recherche de documents qui n‘ont rien à faire en ligne.

Le 10 octobre à 11h04

Les allées du salon des Assises de la cybersécurité de Monaco sont remplies de sociétés proposant diverses solutions de cybersécurité. Deux d’entre elles – CybelAngel et YesWeHack – nous ont expliqué comment Internet était entièrement scanné, parfois plusieurs fois par jour, et par différents types d’acteur.

CybelAngel scanne tout Internet, mais aussi Telegram et le dark web

Il reste 90% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (23)

votre avatar
Quand nous voulons entrer dans les détails pour savoir combien cela représente en stockage, nous n’avons pas de réponse précise ni même d’ordre de grandeur (To, Po, Eo…)

Pourquoi Google, demandons-nous ? « On était chez OVH avant, ce n’était pas scalable », pour répondre à ses besoins de stockage.
ça veut dire qu'OVH ne pouvait pas proposer plus en terme de stockage ?
votre avatar
C’est ce qu’annonce CybelAngel dans son cas, oui
votre avatar
Scanner les 65536 ports des 4294967296 IPv4 accessibles sur Internet, ça représente quand même un total de 2,8x10^14 interrogations. Et comme il n'y a que 86400 secondes par jour, ça fait 3,3 milliards de scan de port par seconde. C'est quand même gigantesque. Ou alors je me trompe dans mon calcul. Et tout ça pour quelques centaines d'euros seulement :zarb:
votre avatar
Tous les ports ne sont pas scannés, à mon avis. ;)
Edit : j'ai rien dit : l'article précise bien "l'ensemble des ports".
votre avatar
Ils ne font pas cela avec une seule liaison, c’est du parallélisme massive (c’est facile de découper des blocs d’IP, de port, etc,) Mais dans le cas de CybelAngel la société n’avait pas plus de détail à me fournir. J’ai par contre bon espère de passer voir l’équipe technique comprendre comment ils font :D
votre avatar
Et effet, c'est sûr qu'ils parallélisent massivement. Vu les quantités de requêtes, je trouve ça d'autant plus étonnant qu'ils ne se fassent pas bloquer par les serveurs.
votre avatar
Les briques chargées de ce genre de protection, chez ceux qui ont les moyens et la motivation pour les mettre en œuvre, sont rarement les serveurs eux-mêmes. D'ailleurs, chez ce type de client, la notion/définition même de "serveur" est... Compliquée.

Cela dit, à supposer que la dite brique de sécu possède une seul IP et donc ~65k ports à scanner pour simplifier, il faut qu'elle soit capable de reconnaître un scan quand elle en voit un. Si tu as les moyens pour scanner d'utiliser des milliers d'IP sources différentes, éloignées les unes des autres dans un maximum de préfixes géographiquement les plus éloignés possibles tout en restant dans le "plausible" pour le serveur visé, et que tu mets de l'aléa partout (ordre de scan des ports, ordre des IP utilisées, timing des requêtes, etc.) tu deviens indiscernable du bruit de fond. Ce n'est pas forcément facile pour un script kiddy, mais c'est tout à fait à la portée d'une entreprise en cybersécurité avec quelques moyens je pense.

En plus, quand je lis "tous les ports", je pense que ce n'est pas tout à fait vrai: c'est un gaspillage de ressources. En général, quand tu scannes, tu sais ce que tu cherches, et tu te limites aux quelques ports probables. Même si tu agrèges tous les ports potentiellement intéressants (ports de production légitimes enregistrés et port "exotiques" connus) pour ratisser très large, tu es loin d'arriver aux 65k théoriques. Et même si tu voulais aller jusque là tu as tout intérêt à les trier dans un ordre d'intérêt ou de probabilité décroissant, de sorte à ramener le plus vite possible le plus grand nombre de cibles dans tes filets.
votre avatar
scanner 1 port avec 1 IP, et changé à chaque fois chaque jour pour le même port et la même IP, y'a pas masse de monde qui va arriver à bloquer ça.

C'est pas du DDoS qu'il font, c'est même totalement l'inverse.
votre avatar
Mais qu'est ce un scan à ce niveau là? Un test telnet sur le port? juste un ping?
J'ai du mal à voir ce qui ce passe dans le scan
votre avatar
Toutes les adresses IPv4 ne sont pas publiquement adressables, il n'y a "plus que" 3,706,452,992 adresses quand on retire les plages privées, lien local, multicast, etc. Cela réduit le calcul à 2,8 milliards, bon...
votre avatar
Oui, outre les plages privées, il y a aussi celles comme les 100.64.0.0/10 qui sont des plages réservées aux opérateurs non routées, celle pour les direct link, d'autres de test vers 200 et des patates.
votre avatar
En plus, il n'y a pas que TCP, y a UDP toujours, qui représente une bonne partie du trafic internet quand même, ainsi que d'autres protocoles ...
votre avatar
Je suppose que c'est plus subtile que cela. Il n'y a que quelques ports qui soit intéressant.
De plus on ne s'amuse pas à ouvrir des ports publiquement comme ça. Du coups...
On scanne les ports intéressants d'abord et on fait d'autre scan du genre Nmap moins régulièrement.

Les 99% ce sera Web, mail, Ftp éventuellement et plus sporadiquement des serveurs autres montés en propre.
Et encore pour le mail cela revient a beaucoup scanner Microsoft...

Donc y'a moyen d'optimiser pour faire un truc un tant soit peu intelligent.

Ex : ne pas re-scanner un port qui ne répond pas avant X jours.
votre avatar
elle ne s’est pas fait blacklister et n’a même pas de problème particulier
Mouai, je gère qq serveurs et, bien sur que la moindre tentative de connexion sur certains ports honeypot entraîne le ban de l'IP.
Plus le ban systématique de certains AS bien connu (DRIFTNET, CENSYS-ARIN, ONYPHE ...)
votre avatar
Ha ben je suis du même avis, pour ça que j’ai posé plusieurs fois la question à deux personnes différentes (de la même boite) avec toujours la même réponse et sans aucun doute de leur part. J’attends de pouvoir en discuter avec le responsable technique pour voir comment ils font cela :chinois:
votre avatar
Bref, rien de neuf depuis 20 ans.
votre avatar
si, ça va plus vite ^^
votre avatar
Un moyen pour observer facilement le scanning de ports, d'IP, et toutes les tentatives d'intrusions possibles en masse : faites pop une VM chez un Cloud Provider avec une IP publique, et regardez ses logs d'audit.

Au bout de 5 minutes, vous devriez déjà avoir tout un tas de tentatives de connexion root, j'en pense et des meilleures.
votre avatar
Histoire de donner une idée : la durée de vie moyenne d'un Windows XP exposé directement sur internet est d'une quinzaine de minute.
votre avatar
fallait mettre win 3.11 avec winsock. là durée de vie illimitée, plus personne ne sait quoi faire d'un OS en 16bits :mdr2:
votre avatar
La semaine dernière un client m'a dit qu'il avait un VPS avec un Windows server...
Je lui demande :
- quelle version ? -> il ne sais pas.
- il est managé ? -> non

Voilà.
votre avatar
Quand je regarde les stats basiques de l'hébergement de mes sites web, je note surtout combien les visiteurs sont fan des dossiers wp-admin et autres fichiers .env :D

Sachant que ce sont tous des sites statiques réalisés avec Hugo :transpi:
votre avatar
C'est xmlrpc.php le grand gagnant (et je ban toutes les IP qui le tape) :D

/0 : Pourquoi des pirates et entreprises de cybersécurité scannent tout Internet (en IPv4)

  • CybelAngel scanne tout Internet, mais aussi Telegram et le dark web

  • « On a tout Internet qui est stocké tous les jours »

  • Pêche numérique au gros : des pirates lancent des attaques sur tout Internet

  • La technique n’est pas nouvelle, mais les coûts sont en baisse

  • Mais au fait, ça veut dire quoi le /0 ?

  • Scanner Internet en IPv6 est bien plus compliqué

Fermer