Introduction
Dans « Le virus du télétravail« , nous présentions le fonctionnement de l’outil Shodan. Pour peu que lecteur n’ait pas connaissance de cet outil, nous l’invitons à se reporter à la lecture de cet article.
Le présent article va s’attacher à quelques recherches sur les hébergeurs utilisés par Shodan. Via l’utilisation conjointe des outils AbuseIPDB, DNSdumpster, Scamanalytics et SecurityTrails, il permettra de mettre en lumière certains fonctionnements inhérents au service, et éventuellement quelques une de ses contradictions.
Recherche de sous-domaines
Il existe de multiples moteurs de recherche dédiés aux noms de domaines. Tous ne donnent pas nécessairement les mêmes résultats. Il convient alors d’en utiliser plusieurs en même temps, de sorte que les résultats obtenus soient à même de se recouper, mais aussi de se compléter. La tâche de l’analyste OSINT est grandement facilitée via des outils comme Intelx, qui permet de lancer une recherche sur 27 sites différents, avec autant d’onglets qui s’ouvrent dans le navigateur.
Dans le cas qui nous intéresse, nous avons choisi de nous limiter à l’utilisation de SecurityTrails, car ses résultats sont présentés de manière pertinente (via des colonnes « Domain » et « Hosting Provider ») et surtout, on a accès gratuitement à leur intégralité. Pour Shodan, les résultats sont ainsi disponibles via le lien https://securitytrails.com/list/apex_domain/shodan.io.
Parmi les résultats, on remarque que certains sous-domaines sont hébergés chez IP Volume Inc, présenté dans l’article OpenFacto « Enquête sur un hébergeur en dessous de tout soupçon », et connu pour être un hébergeur Bulletproof :
census.shodan.io
On remarque ci-dessus que tous les sous-domaines hébergés chez IP Volume Inc se rattachant à census.shodan.io. Par curiosité, nous souhaiterions maintenant obtenir l’intégralité des adresses IP se rattachant à ce sous-domaine : peut être ont elles la même finalité, qui sait ? Via une recherche sur SecurityTrails, on ne trouve rien de plus. Qu’à cela ne tienne ! Essayons sur DNSdumpster :
Un peu de tri
A l’exception des adresses mentionnant explicitement le domaine shodan.io en sous-titre (comme 216.117.2.180, qui ne semble être qu’une page d’affichage comme l’atteste https://urlscan.io/ip/216.117.2.180), on procède à des recherches sur AbuseIPDB :
Les recherches sur AbuseIPDB ne prétendent pas à l’exhaustivité mais il apparaît que les adresses IP trouvées sont très actives. Qu’en est il du niveau de confiance des hébergeurs ? Scamanalytics est à même de nous donner un ordre d’idées :
Éléments de conclusion
Shodan a recours aux services de IP Volume Inc mais a également recours aux services d’autres hébergeurs qui apparaissent à priori plus standards.
Si le lecteur se réfère aux logs AbuseIPDB, il verra que les services de Shodan sont par nature très intrusifs :
- https://www.abuseipdb.com/check/185.142.236.34
- https://www.abuseipdb.com/check/89.248.167.131
- https://www.abuseipdb.com/check/71.6.199.23
De ce fait, tout du moins en se basant dans une optique pratico-pratique, le recours à des hébergeurs Bulletproof apparaît comme tout à fait logique. En effet, ces hébergeurs sont peu regardants sur la nature de ce qu’ils hébergent, et leurs services « abuse », pour peu qu’ils soient sollicités, ne sont pas nécessairement réactifs, à juste titre, car la capacité intrusive est un des socles de Shodan.
Quant aux questions d’éthique et de probité liées au recours à un hébergeur Bulletproof, ce n’est pas l’objectif de cet article et nous laisserons le lecteur seul juge.