Shodan (site web)
Shodan est un moteur de recherche créé en 2009 par John Matherly. Ce site référence le résultat de balayages de ports massifs effectués sur le réseau Internet.
Adresse | https://www.shodan.io |
---|---|
Commercial | Optionnel |
Type de site | Moteur de recherche |
Langue | Multilingues |
Créé par | John Matherly |
Lancement | 2009 |
État actuel | Actif |
Son nom fait référence à SHODAN, un personnage des jeux vidéo System Shock et System Shock 2.
Présentation
Shodan est un site web spécialisé dans la recherche d'objets connectés à Internet, et ayant donc une adresse IP visible sur le réseau. Il permet ainsi de trouver une variété de serveurs web, de routeurs ainsi que de nombreux périphériques tels que des imprimantes ou des caméras. Une telle requête est traitée avec une simple analyse de l’entête HTTP renvoyée par l’appareil ou le serveur[1]. Il est alors possible de récupérer des listes d'éléments spécifiques. Pour chaque résultat, on trouve l'adresse IP du serveur ainsi que d'autres types d'informations sensibles mais accessibles.
Selon son créateur, John Matherly, ce site a été conçu pour permettre aux entreprises de « traquer » l'utilisation de leurs logiciels[2].
ContrĂ´le Ă distance
Shodan est également un outil utilisé par des chercheurs en sécurité et des pirates pour rechercher des dispositifs mal sécurisés et en prendre le contrôle à l'aide d'un seul navigateur Web. En effet, de nombreux appareils utilisent des combinaisons de login/mot de passe, souvent laissés par défaut, tel que admin/admin ou admin/1234[3].
Le créateur de ce site a ainsi repéré qu'il était possible de trouver et se connecter à un système informatique gérant un barrage hydroélectrique en France[2]. Dans une vidéo, un Américain a pu de son côté démontrer qu'il était possible d'éteindre à distance une laverie de voitures ou dégivrer une patinoire danoise[4].
Une enquête du tabloïd norvégien Dagbladet de 2013 intitulée « Null CTRL » et portant sur le moteur de recherche a été récompensée par le European Press Prize (en). En 2014, le site Rue89 a publié un article s'inspirant de cette enquête afin de mettre en lumière la facilité d'utilisation du site en vue de se connecter à des objets du quotidien[2].
En 2013, Billy Rios a détecté une vulnérabilité dans un logiciel qui touche des immeubles, des entreprises ou encore des banques. Ce chercheur en sécurité chez Cylance a pu trouver grâce à Shodan 2 000 systèmes d'information dont le contrôle pouvait être pris par un pirate informatique, et notamment des systèmes de chauffage, de climatisation ou d’éclairage. Le département de la Sécurité intérieure des États-Unis a ainsi révélé que ces pirates avaient déjà utilisé cette faille afin d'augmenter le chauffage d’une usine située dans le New Jersey. D'autres spécialistes en sécurité ont démontré que des hackers ont réussi à pénétrer dans une voiture connectée afin de changer les indicateurs de vitesse, bloquer les freins à distance, ou encore modifier l'itinéraire en cours d'un GPS[4].
Critiques
Le journaliste américain du magazine Forbes Kashmir Hill ainsi que David Goldman de CNN estiment que Shodan est un moteur de recherche terrifiant[5] - [3].
Notes et références
- « Shodan, moteur de recherche total de l'Internet - Le Monde Informatique », sur LeMondeInformatique (consulté le )
- Olivier Emond, « Shodan, le moteur de recherche qui se connecte à votre insu », sur France Info.fr, (consulté le ).
- (en) David Goldman, « Shodan: The scariest search engine on the Internet », sur CNN, (consulté le ).
- Hubert Guillaud, « L’internet des objets "web" », sur Les Échos.fr, (consulté le ).
- (en) Kashmir Hill, « The Terrifying Search Engine That Finds Internet-Connected Cameras, Traffic Lights, Medical Devices, Baby Monitors And Power Plants », sur Forbes, (consulté le ).
Voir aussi
Articles connexes
Liens externes
- (en) David Goldman, « The Internet's most dangerous sites », sur CNN, .
- Interview du fondateur du site Shodan sur le site de Vice, « Shodan est le moteur de recherche le plus dangereux du monde », .
- Gurvan Kristanadjaja, « J’ai pris le contrôle de votre caméra et je vous ai retrouvés », sur Rue89, (consulté le ).
- Site officiel