Shodan (site web)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Shodan est un moteur de recherche créé en 2009 par John Matherly. Ce site référence l'ensemble des objets connectés au réseau internet.

Son nom fait référence à SHODAN, un personnage des jeux vidéo System Shock et System Shock 2.

Présentation[modifier | modifier le code]

Shodan est un site web spécialisé dans la recherche d'objets connectés à Internet, et ayant donc une adresse IP visible sur le réseau. Il permet ainsi de trouver une variété de serveurs web, de routeurs ainsi que de nombreux périphériques telles que des imprimantes ou des caméras. Une telle requête est traitée avec une simple analyse de l’entête HTTP renvoyée par l’appareil ou le serveur[1]. Il est alors possible de récupérer des listes d'éléments spécifiques. Pour chaque résultat, on trouve l'adresse IP du serveur ainsi que d'autres types d'informations sensibles mais accessibles.

Selon son créateur, John Matherly, ce site a été conçu pour permettre aux entreprises de « traquer » l'utilisation de leurs logiciels[2].

Contrôle à distance[modifier | modifier le code]

Shodan est également un outil utilisé par des chercheurs en sécurité et des pirates pour rechercher des dispositifs mal sécurisés et en prendre le contrôle à l'aide d'un seul navigateur Web. En effet, de nombreux appareils utilisent des combinaisons telles que admin comme nom d'utilisateur et 1234 comme mot de passe[3].

Le créateur de ce site a ainsi repéré qu'il était possible de trouver et se connecter à un système informatique gérant un barrage hydroélectrique en France[2]. Dans une vidéo, un Américain a pu de son côté démontrer qu'il était possible d'éteindre à distance une laverie de voitures ou dégivrer une patinoire danoise[4].

Une enquête du tabloïd norvégien Dagbladet de 2013 intitulée « Null CTRL » et portant sur le moteur de recherche a été récompensée par le European Press Prize. En 2014, le site Rue89 a publié un article s'inspirant de cette enquête afin de mettre en lumière la facilité d'utilisation du site en vue de se connecter à des objets du quotidien[2].

En 2013, Billy Rios a détecté une vulnérabilité dans un logiciel qui touche des immeubles, des entreprises ou encore des banques. Ce chercheur en sécurité chez Cylance a pu trouver grâce à Shodan 2 000 systèmes d'information dont le contrôle pouvait être pris par un pirate informatique, et notamment des systèmes de chauffage, de climatisation ou d’éclairage. Le département de la Sécurité intérieure des États-Unis a ainsi révélé que ces pirates avaient déjà utilisé cette faille afin d'augmenter le chauffage d’une usine située dans le New Jersey. D'autres spécialistes en sécurité ont démontré que des hackers ont réussi à pénétrer dans une voiture connectée afin de changer les indicateurs de vitesse, bloquer les freins à distance, ou encore modifier l'itinéraire en cours d'un GPS[4].

Critiques[modifier | modifier le code]

Le journaliste américain du magazine Forbes Kashmir Hill ainsi que David Goldman de CNN estiment que Shodan est un moteur de recherche terrifiant[5],[3].

Notes et références[modifier | modifier le code]

  1. « Shodan : un site Internet qui met en danger vie privée et sécurité », sur breizh-info.com/,‎ (consulté le 18 juin 2014).
  2. a, b et c Olivier Emond, « Shodan, le moteur de recherche qui se connecte à votre insu », sur France Info.fr,‎ (consulté le 18 juin 2014).
  3. a et b (en) David Goldman, « Shodan: The scariest search engine on the Internet », sur CNN,‎ (consulté le 18 juin 2014).
  4. a et b Hubert Guillaud, « L’internet des objets "web" », sur Les Échos.fr,‎ (consulté le 18 juin 2014).
  5. (en) Kashmir Hill, « The Terrifying Search Engine That Finds Internet-Connected Cameras, Traffic Lights, Medical Devices, Baby Monitors And Power Plants », sur Forbes,‎ (consulté le 19 juin 2014).

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]