Weakspot veut aider les entreprises à évaluer leur exposition en ligne

C’est à l’automne dernier que Manuel Brochand et Aurélien Boit ont fondé Weakspot, en s’associant à Laurent Mayet, président d’Inquest, une filiale de GM Consultant. Leur parcours donne un aperçu de leur domaine d’expertise : tous deux sont restés plusieurs années au ministère des Armées, comme analyste/pentester pour l’un, et ingénieur/consultant en sécurité pour l’autre. Ils sont arrivés chez Inquest à l’été dernier pour y avoir ce qui ressemble à un déclic.

Dans la pratique Weakspot s’utilise à partir d’une adresse e-mail ou d’un nom de domaine. Dernière son interface Web simplissime, l’outil va, en coulisse, chercher à collecter un maximum de données accessibles en sources ouvertes sur le domaine correspondant.

Et l’éventail peut être très large, depuis les champs des enregistrements DNS, jusqu’aux bannières de services exposés par des systèmes connectés à Internet et identifiables via un moteur de recherche spécialisé comme Shodan, notamment. Mais cela passe également par les éléments remontés par des moteurs de recherche Web classiques sur ces éléments, ou des éléments connexes. Le but est simple, pour Manuel Brochand et Aurélien Boit : trouver autant de choses que possible, pouvant être reliées à l’entreprise étudiée.

Pour les adresses de messagerie électronique, l’intérêt est double. Celles qui apparaissent dans des sources accessibles en ligne à tous, sont plus susceptibles que d’autres d’être visées par des opérations de hameçonnage ciblé. C’est l’occasion d’un exercice de formation et de sensibilisation. Certaines adresses peuvent également figurer dans des bases d’identifiants de brèches. Pas question, là, de recourir aux API d’un service comme haveibeenpwned, mais l’idée est la même : si l’adresse figure parmi des listes diffusées à l’occasion de brèches, il peut être important de renforcer les mesures de sécurité autour d’elle, et notamment des mots de passe utilisés pour l’accès aux actifs du système d’information.

Pour les hôtes exposés en ligne, Weakspot procède à ce que l’on appelle de la reconnaissance active, cherchant à identifier par exemple les versions des composants logiciels servant à la production des services exposés par les hôtes. Pour une application Web, il peut s’agir d’un Apache et d’un CMS, par exemple.

Mais l’éventail de services susceptibles d’être exposés est bien plus vaste, comme un Shodan permet justement d’en prendre la mesure. Cette reconnaissance effectuée, Weakspot cherche les vulnérabilités connues des composants découverts – mais il n’est pas question pour autant d’en tester l’exploitabilité comme dans le cadre d’un test d’intrusion.

L’outil cherche également à savoir si certaines adresses liées à l’infrastructure de l’organisation étudiée ne figurent pas dans des listes de bannissement ou n’ont pas été utilisées comme nœuds de sortie Tor, entre autre. Weakspot adopte une architecture hautement modulaire permettant d’envisager d’aller encore plus loin. Déjà, il sait également chercher les dépôts GitHub des organisations étudiées afin de savoir si des développeurs n’y auraient pas laissé traîner des clés d’API ou des identifiants. Ce qui malheureusement ne manque pas d’arriver.

Après une analyse pouvant durer d’une dizaine de minutes à plusieurs heures, Weakspot délivre un résultat synthétique et visuel permettant de bien appréhender son exposition en ligne et de mesurer les risques induits. Non pas sans, parfois, réserver d’étonnantes surprises, selon l’expérience de Manuel Brochand et d’Aurélien Boit.

Weakspot est notamment intégré par Inquest à son offre freemium Cibero, qui intègre des volets de sensibilisation, d’évaluation du risque opérationnel, ou encore d’accompagnement à la conformité RGPD. Bien sûr, il peut avoir une utilité certaine en complément d’autres outils et d’autres approches pour jauger son exposition en ligne.

Weakspot présente également un potentiel certain dans le domaine de la notation de risque cyber. Mais pour l'heure, ses créateurs préfèrent une approche entre benchmarking et auto-évaluation. Il n’en reste pas moins que certains secteurs comme celui de l’assurance pourraient y trouver leur intérêt.