Shodan, c'est quoi ?
Peut-être que vous en avez jamais entendu parler avant, mais Shodan est un moteur de recherche (un peu comme google) très apprécié par les hackers. Comme tous les autres moteurs de recherche, Shodan parcourt le web pour indexer du contenu.
Il a été créé par John Matherly en 2009, vous pouvez le retrouver à cet adresse www.shodan.io
Mais alors quelles différences avec Google, Bing Qwant etc... ?
Contrairement aux autres, Shodan ne référence pas des sites web, mais tous les objets pouvant se connecter à Internet ! Pour cela, il retrouve les informations contenues dans les bannières de tous les objets disposant d'une adresse IP. Ces informations sont comme une carte d'identité pour l'appareil, on peut notamment savoir le type d'objet ou l'adresse MAC du périphérique connecté.
Ainsi, Shodan indexe tout ce qu'il trouve en chemin, ça peut être des routeurs, des télévisions etc... Avec l'explosion des objets connectés dans le marché mondial, les possibilités sont de plus en plus nombreuses. Cela créer aussi de nombreuses failles pour les hackers à exploiter !
A quoi ça sert ?
Ok très bien, Shodan indexe tous ces objets mais qu'est ce qu'on peut bien en faire ??
Et bien lorsque Google vous propose des sites après une recherche, vous pouvez vous connecter facilement en cliquant dessus. Cela fonctionne de la même façon avec Shodan. Sauf qu'ici vous vous connectez à des objets physiques !
Mais alors la sécurité dans tout ça ?
Et bien c'est actuellement un gros problème car les objets connectés sont actuellement très peu sécurisés !
Shodan est principalement utilisé pour les failles dans les caméras connectées du monde entier ! En effet, encore beaucoup d'objets connectés utilisent toujours les mots de passe par défaut comme admin/admin ! D'ailleurs si vous voulez vous pouvez toujours consulter mon article pour apprendre à protéger ses mots de passe.
Ainsi il suffit qu'une caméra ne soit pas configurée et tout le monde peut se connecter et observer ce qu'elle filme en direct !
Ce que l'on pensait réservé aux espions ou aux jeux vidéos et donc accessible à tout le monde !
Comment utiliser Shodan ?
Bon maintenant qu'on a vu à quoi servait Shodan, on va apprendre à l'utiliser 😉
Voici la page d'accueil de Shodan :
La première chose à faire et de se créer un compte gratuitement pour pouvoir utiliser la barre de recherche. Vous n'êtes pas obligé de créer un compte mais les possibilités sont très limitées...
Avant de faire vos propres recherches, vous pouvez utilisez le bouton Explore à droite de la barre pour regarder les requêtes les plus populaires. Vous remarquerez ainsi que la majorité des personnes recherchent des webcams qui ne sont pas sécurisées.
On peut voir ici que la première recherche est " Webcam ". Cependant, il est souvent plus efficace de chercher les mots clés des bannières des webcams. Ces informations sont différentes pour chaque fabriquant de caméras connectées. Il faut donc être un peu plus malin pour trouver les webcams souhaitées. Nous verrons un exemple par la suite 😉
Résultats des recherches:
Après une recherche de Webcam, on obtient ce résultat. On peut voir l'adresse IP de plusieurs caméras avec la localisation et les informations contenues dans leur bannière !
Il suffit ensuite de cliquer sur une des webcams pour arriver à une page de connexion. Si l'administrateur n'a pas changé les mots de passe par défaut, il vous suffit de tester plusieurs mots de passe classiques pour se connecter à la caméra !
Les mots de passe par défaut change en fonction du fabriquant de l'appareil mais ils sont facilement trouvables sur Internet ! Voici une liste de mots de passe en fonction du type de caméra.
Mais il y a encore mieux !
Il existe même des caméras qui ne demandent aucun mot de passe ! C'est le cas par exemple des caméras " webcamxp " qui sont pour la plupart totalement accessibles à tout le monde !
Je vous invite à essayer par vous même en tapant simplement " webcamxp " dans la barre de recherche et en tenant de vous connecter à plusieurs caméras !
Il existe plein d'autres fabricants de caméra. Vous devez donc avant de rechercher sur Shodan trouver par vous même les bannières qui correspondent au type de caméra que vous cherchiez.
Pour aller plus loin avec Shodan
Shodan a prévu une syntaxe qui permet de faire des recherches plus précises. Vous pouvez choisir de chercher en fonction de la localisation, de l'adresse IP, d'un port ouvert etc...
Voici la forme de la syntaxe générale:
Et quelques exemples
Par exemple pour trouver une webcamxp en France, il faut taper:
En conclusion
Shodan est un moteur de recherche très efficace, même un peu trop! Les administrateurs qui ne font pas attention à la sécurité peuvent causer de sérieux problème de vie privée ! Le pire c'est que la plupart ne sont même pas au courant qu'ils peuvent être surveillés par n'importe qui n'importe où dans le monde !
De plus, Shodan ne permet pas seulement de hacker des caméras, mais n'importe quels objets connectés ! Les hackers black hat pourraient aussi causer des dégâts énormes dans des installations non protégées...
Il existe même une version payante de Shodan (99$/an) qui permet de connecter Shodan avec d'autres applications (crack de mots de passe etc...). Imaginez juste le potentiel d'attaque pour un hacker malveillant !