Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

Surveillance Dark Web & Surface d’attaque externe

Sweepatic Surveillance Dark Web Surface dattaque
  • 12 juin 2025
  • ComputaSYS
  • Blog
  • 0


I. Présentation

Les cyberattaques et les fuites de données sont de plus en plus nombreuses : il suffit de suivre un minimum l’actualité informatique pour le savoir. Face à cette situation, les organisations doivent être vigilantes et se protéger des menaces potentielles. Une intrusion peut débuter de plusieurs façons, de l’exploitation d’une vulnérabilité, à l’e-mail malveillant (phishing) en passant par le vol d’identifiants par un logiciel malveillant de type infostealer.

L’une des méthodes de protection consiste à surveiller et analyser sa surface d’attaque externe, c’est-à-dire tous les actifs (assets) exposés sur Internet et qui peuvent représenter un risque plus ou moins important. Pour les organisations, le suivi et l’inventaire de ces assets est un défi. D’une part, le système d’information est un système vivant en constante évolution, et d’autre part, les organisations doivent faire face à un phénomène bien connu : le shadow IT.

Cet article présente les dernières fonctionnalités et innovations ajoutées à la plateforme Sweepatic, une solution belge rachetée par Outpost24 en 2023. Cette plateforme d’EASM (External Attack Surface Management) a déjà fait l’objet d’une présentation complète sur IT-Connect :

Désormais, Sweepatic s’intéresse à la surface d’attaque externe d’une entreprise de façon large, ce qui en fait à mon sens un outil de pilotage complet et de cyberveille. Ses modules de renseignements et de détection vont notamment permettre :

D’effectuer un inventaire précis des actifs et des systèmes constituant la surface d’attaque externe d’une organisation

De détecter les fuites d’informations d’identification (identifiant et mot de passe d’un utilisateur)

De surveiller l’activité du Dark web

De faire le lien entre les différents actifs grâce à une cartographie complète

D’identifier les vulnérabilités détectées sur les actifs et systèmes d’une entreprise

Preuve que la solution Sweepatic va loin dans son analyse, elle est capable de détecter si le site web d’une entreprise n’a pas le bandeau de consentement pour les cookies. Cela rentre dans le périmètre de l’analyse, car c’est lié au RGPD et cela peut engendrer une sanction (amende) en cas de contrôle.

II. Tout commence par la phase de découverte

Avant d’évoquer les dernières nouveautés de Sweepatic, il me semble important d’effectuer un rappel sur le fonctionnement de cette solution, et notamment sur la phase de découverte. En effet, l’analyse de la surface d’attaque externe d’une organisation commence par une phase de découverte des domaines.

Un des points forts de Sweepatic est sa mise en œuvre ultra rapide : un seul domaine suffit pour démarrer l’analyse (comme ici it-connect.tech). Cela permet de réduire le temps de déploiement et d’obtenir des résultats exploitables sans configuration particulière.

L’outil exploite ensuite plusieurs techniques, comme l’analyse des DNS, la variation de caractères ou l’étude du propriétaire (whois), et plus récemment l’intelligence artificielle, afin d’identifier d’autres domaines liés à votre organisation ou potentiellement utilisés à des fins de cybersquattage.

Cette découverte est automatisée et continue, avec une mise à jour régulière des résultats. Chaque domaine détecté est enrichi d’informations clés : type d’enregistrements DNS, date de détection, méthodes de découverte utilisées, adresse IP associée au domaine, registrar, technologies détectées, etc.

L’image précédente met en évidence un score “E” pour ce domaine, ce qui n’est pas un bon score. En accédant aux détails du domaine, il est possible d’obtenir des explications. Ici, nous apprenons notamment ceci :

Aucune CVE connue (vulnérabilité connue) n’a été découverte sur l’hôte et le nom de domaine

L’adresse IP n’est pas présente dans les listes de blocage (liées à la réputation des IP)

Le service SSH, sur le port 22, a été découvert sur l’adresse IP : ce qui est considéré comme un risque élevé

Le certificat TLS est valide

La sécurité des e-mails pourrait être améliorée, car le SPF est correctement configuré, mais il n’y a pas d’enregistrements DMARC

Les Security Headers sur le nom de domaine sont manquants et ils devraient être ajoutés

Ce sont des informations pertinentes et utiles, qui, de facto, vont nous permettre d’améliorer la sécurité de nos assets. Surtout, si la situation évolue dans le temps, que ce soit positivement ou négativement, nous pourrons en être avertis.

Sweepatic va ensuite analyser les domaines qui pourraient être rattachés à la même organisation, que celle-ci en soit propriétaire ou non. L’idée étant d’identifier rapidement les domaines légitimes et ceux à risque afin que vous puissiez les surveiller.

Par exemple, dans le cadre de l’analyse du domaine it-connect.tech, Sweepatic considère le domaine it-connect.fr comme ayant de fortes chances d’avoir le même propriétaire. Il le considère aussi comme suspect, car il reprend le même nom : la seule différence étant située au niveau de l’extension (.fr au lieu de .tech). Dans le cas où je décide d’ajouter ce domaine à mon périmètre d’analyse, Sweepatic va poursuivre la découverte avec les assets associés à ce domaine. Il en va de même pour it-connect.com sauf que ce dernier ne m’appartient pas : il pourrait donc être intéressant de le surveiller.

III. Les dernières nouveautés de Sweepatic

Cette section présente les nouvelles fonctionnalités récemment ajoutées à la plateforme Sweepatic, en complément de celles abordées dans notre précédent article de présentation.

A. Surveillance en continu avec la Threat Intelligence

Sweepatic intègre désormais des modules de Cyber Threat Intelligence, permettant la détection de fuites de données, d’identifiants et la surveillance du dark web. Ces modules permettent d’aller au-delà de la simple identification d’incidents : ils fournissent des indications sur l’origine des compromissions et facilitent ainsi une remédiation ciblée et efficace, évitant de se limiter à traiter les symptômes.

Par exemple : si le compte [email protected] et son mot de passe ont été identifiés dans une fuite de données, une alerte sera générée. Ainsi, vous pouvez être réactif en demandant à l’utilisateur concerné de changer son mot de passe. Cette surveillance est effectuée en continu, ce qui permet d’être proactif sur le sujet.

Sweepatic a détecté 300 identifiants correspondant à des comptes d’utilisateurs IT-Connect. Il y a le nom d’utilisateur (pseudo ou adresse e-mail) et le mot de passe. J’en ai testé quelques-uns : certains sont valides, d’autres non. Il s’agit d’identifiants collectés par des logiciels malveillants, notamment des infostealers. Dans certains cas, Sweepatic peut préciser le nom du logiciel malveillant lorsqu’il a été clairement identifié.

En cliquant sur un élément, il est possible d’obtenir des détails, notamment la date à laquelle l’élément a été compromis, ainsi que sa provenance. Sachez que la solution Sweepatic analyse les places de marchés du Dark Web et certains canaux Telegram pour détecter la présence d’identifiants correspondant à votre organisation.

Le module Dark Web a un potentiel très intéressant pour identifier des pages cachées où l’on parle de vous (nom de domaine, nom de produit, etc.). Par exemple, ce module peut signaler des pages GitHub ou PasteBin. Dans le cas de PasteBin, cela m’a notamment permis d’identifier un “fichier” décrit de cette façon : “Liste des pages de connexion WordPress compromises avec les URL et les identifiants d’administration potentiels.”

Ce Paste de plusieurs milliers de lignes contient des liens vers des pages de connexion WordPress, avec à chaque fois, un identifiant et un mot de passe. Il y a une occurrence faisant référence à IT-Connect avec un compte déjà détecté par le module de Threat Intelligence évoqué précédemment.

Ce n’est pas tout, puisqu’il est également possible de surveiller l’activité sur les différents réseaux sociaux. Un avantage pour les marques et les entreprises souhaitant suivre leur réputation en ligne et détecter rapidement ce qui se dit à leur sujet, que ce soit sur LinkedIn, TikTok ou un autre réseau.

Pour que la surveillance soit complète et efficace, vous devez créer des “Seeds”, qui sont comme des mots-clés à rechercher. Ceci permet de contextualiser la surveillance pour qu’elle soit adaptée à votre organisation. Il peut s’agir d’un nom de domaine (site web, messagerie, etc.), du nom de l’entreprise ou d’un produit, etc.

B. L’intégration de l’intelligence artificielle

La découverte des domaines repose sur une nouvelle fonctionnalité nommée “Ownership AI” et alimentée par l’intelligence artificielle. L’idée est simple : attribuer un score de probabilité à chaque domaine découvert, indiquant dans quelle mesure il est susceptible d’appartenir à votre organisation. Cela permet de hiérarchiser rapidement les résultats et de gagner du temps lors du traitement des nouveaux domaines découverts.

L’IA est également intégrée aux modules de Threat Intelligence pour générer automatiquement des résumés de contenu. Sur les réseaux sociaux, elle synthétise les publications, tandis qu’elle résume en une phrase le contenu des pages détectées sur le Dark Web. Cela permet de gagner un temps du temps, en mettant en évidence les informations les plus pertinentes, ce qui permet de faire du tri plus rapidement.

Par exemple, c’est grâce au résumé généré par l’IA que j’ai pu identifier rapidement le lien PasteBin qui référence des identifiants WordPress.

C. La cartographie des dépendances

La fonctionnalité de cartographie du réseau génère un visuel des dépendances entre les actifs. Elle révèle les connexions parfois insoupçonnées entre systèmes internes et services tiers. Ici, nous pouvons facilement comprendre que le domaine it-connect.tech est rattaché à une adresse IP (point jaune) correspondante au fournisseur de service Infomaniak, et que cette adresse IP est localisée en Suisse.

Cette cartographie est dynamique dans le sens où elle évolue à chaque fois que votre surface d’externe évolue elle aussi. À l’aide des filtres, vous pouvez afficher ou masquer certains nœuds, tout en sachant que vous pouvez déplacer les éléments pour les organiser à votre convenance.

D. Risques réglementaires et conformité

Sweepatic élargit la notion de risque cyber en incluant des éléments de conformité, comme l’absence de politique de cookies conforme au RGPD sur un site web. Ce type de problème pouvant entraîner des sanctions financières… Cette approche globale aide les entreprises à mieux contrôler leur conformité vis-à-vis de cette loi.

E. Automatisations avec des workflows

Le système d’automatisation de Sweepatic permet de gérer plus facilement la quantité d’informations générées, grâce à la création de workflows. Ils permettent d’automatiser certaines actions, notamment pour faciliter le tri, la priorisation et la gestion des alertes.

Par exemple, vous pouvez ajouter le tag Urgent sur un événement si ce dernier concerne la fuite d’identifiants dont le nom de l’utilisateur contient la chaine florian.burnel. Il est également possible d’envoyer une alerte par e-mail ou sur un système de communications comme Teams. Autre possibilité : déclencher un Webhook.

F. Intégration avec les tests d’intrusion web

Le catalogue de solutions d’Outpost24 ne se limite pas à Sweepatic. Ce dernier permet d’ailleurs de faire le pont avec une autre solution de l’éditeur : Web Application Pentesting. Une solution de type “Pen Testing as a Service” permettant, dans le contexte de Sweepatic, de lancer un pentest web approfondi sur l’un de vos assets. Cette intégration permet de compléter l’analyse passive par une évaluation active de la sécurité.

Différents niveaux de services sont proposés pour répondre aux exigences d’une grande variété d’applications et services, y compris les plus critiques.

IV. Le score global de sécurité

Sweepatic attribue à chaque organisation un score global de sécurité, accompagné de notes spécifiques sur sept dimensions clés de la cybersécurité. Ces indicateurs permettent à la fois de prioriser les actions correctives et de se comparer à d’autres entreprises du même secteur. La plateforme fait preuve de transparence parce que la méthodologie de calcul est détaillée.

Les sept dimensions évaluées sont :

Chiffrement : vérification des paramètres SSL/TLS, de la validité des certificats et de l’usage de connexions sécurisées.

Réputation : détection d’adresses IP ou de domaines présents sur des listes noires.

Vulnérabilités : identification d’actifs exposés à des failles connues (selon la base NIST).

Hygiène : détection de mauvaises pratiques (pages 404, services obsolètes, Shadow IT…).

Configuration : conformité des services exposés avec les standards (cookies, DMARC…).

Services exposés : alerte sur les ports sensibles (ex. : SSH sur le port 22).

Threat Intelligence : signalement des identifiants compromis ou fuites de données.

Les scores, notés de A (excellent) à F (critique), sont pondérés pour calculer une note globale. Quotidiennement, Sweepatic effectue un scan intelligent des ports les plus exposés (Top 100) pour détecter toute évolution, tel qu’un nouveau port ouvert sur un hôte. Du point de vue du système analysé, cette analyse est non intrusive, mais suffisamment complète pour offrir une visibilité précise. Enfin, chaque score est mis en perspective avec une note moyenne sectorielle, calculée à partir des données réelles des clients Sweepatic et des références du marché.

V. Conclusion

Avec l’intégration de nouvelles fonctionnalités et une surveillance continue, Sweepatic d’Outpost24 renforce considérablement sa capacité à cartographier et surveiller la surface d’attaque externe des organisations. De la découverte automatisée de domaines jusqu’à l’analyse de la réputation sur les réseaux sociaux ou la détection d’informations sensibles sur le Dark Web, la plateforme offre une vision complète et exploitable des risques externes. Le périmètre d’analyse de Sweepatic est très large, comme nous avons pu le voir dans cet article et dans le précédent.

La Threat Intelligence apporte une grosse valeur ajoutée à la solution Sweepatic, notamment pour permettre aux entreprises de comprendre l’origine et les causes des compromissions d’identifiants, afin de prendre des décisions éclairées. Par exemple, cela peut conduire à sensibiliser les employés à certains risques et certaines bonnes pratiques (ne pas utiliser un appareil personnel pour accéder aux ressources de l’entreprise, par exemple).

Cet article contient une communication commerciale.

Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *