Votre adresse IP publique est-elle associée à des activités malveillantes ? Voici la réponse à laquelle répond le nouvel outil gratuit proposé par GreyNoise, une société spécialisée dans la cybersécurité.
GreyNoise IP Check : un outil simple pour détecter un réseau compromis
L’entreprise américaine GreyNoise est spécialisée dans la collecte et l’analyse des flux Internet, en particulier ce qu’elle considère comme le “bruit de fond d’Internet”. Grâce à un réseau de diverses sondes disponibles à l’échelle mondiale, elle capture des informations et notamment les adresses IP qui sont à l’origine d’une interaction avec ses sondes. Le système de GreyNoise est en mesure de faire la distinction entre les services inoffensifs, les terminaux compromis et les campagnes de reconnaissance actives.
Le nouveau service web gratuit lancé par GreyNoise exploite la richesse des informations collectées par le réseau de sondes. En effet, n’importe quel utilisateur peut savoir instantanément si son adresse IP (celle de son domicile ou celle de son entreprise) a été observée en train de mener des activités malveillantes sur Internet (comme des scans sur des serveurs).
Une vérification simple, qui ne prend que quelques secondes, mais qui est précieuse : il y a peut-être un équipement infecté sur votre réseau, mais vous l’ignorez. Par exemple, votre routeur a pu être compromis et il a peut-être rejoint un botnet.
Dès la visite sur le site de GreyNoise IP Check, l’outil analyse l’adresse IP publique du visiteur et renvoie l’un des trois verdicts suivants :
Clean : aucun comportement malveillant observé, qui est le résultat attendu pour votre connexion à la maison,
Suspicious/Malicious : détection de scans (ports ouverts, services vulnérables, brute-force…),
Known Business Service : adresse IP appartenant à une infrastructure connue (VPN, cloud, réseau d’entreprise), sans caractère malveillant avéré.
Dans le cas où votre adresse IP est à l’origine d’une activité suspecte, l’outil affiche une chronologie des 90 derniers jours, incluant des tags permettant d’en savoir plus (SSH probing, database hunting ou web vulnerability scans).
Source : GreyNoise
Pour les plus techniques d’entre vous, il y a même la possibilité de solliciter le service via une requête CURL. Une réponse JSON avec les informations est alors retournée.
curl -s https://check.labs.greynoise.io/
“Le point de terminaison API ne nécessite aucune authentification et n’impose aucune limite de débit pour une utilisation raisonnable. Nous l’avons conçu pour qu’il soit utile, sans le verrouiller derrière des niveaux de tarification réservés aux entreprises.”, peut-on lire.
La compromission des équipements sur les réseaux résidentiels
En réalité, cette analyse effectuée par révéler la présence d’un routeur compromis ou même d’un appareil IoT compromis. Ce n’est pas parce qu’un appareil fonctionne normalement qu’il ne mène pas une double vie.
“Votre connexion Internet fonctionne correctement, vos vidéos en streaming ne sont pas mises en mémoire tampon, mais quelque part en arrière-plan, votre routeur participe à des analyses de vulnérabilité ou à des attaques par force brute contre des serveurs partout dans le monde. Vous n’êtes pas la cible, vous êtes l’arme.”, prévient l’équipe de GreyNoise.
Cet article est l’occasion de rappeler quelques bonnes pratiques pour la gestion de vos équipements :
Effectuez les mises à jour du firmware de vos équipements, en particulier le routeur qui est directement exposé,
Modifiez les identifiants administrateur par défaut.
Activez le MFA sur les équipements où cela est pris en charge.
“Vérifiez votre adresse IP. Vérifiez le réseau de vos parents lorsque vous leur rendez visite. Vérifiez le WiFi du café si vous êtes curieux. Cela ne prend que quelques secondes et pourrait vous éviter des ennuis cachés.”, peut-on lire.
Enfin, il est à noter que cet outil ne vérifie pas en profondeur votre réseau : le résultat est basé sur l’activité effectuée sur Internet depuis votre réseau local. Si un équipement de votre réseau est compromis et que l’attaquant agit uniquement sur votre réseau local (cas d’une cyberattaque), cela ne remontera pas avec cet outil. Il est important de bien faire la distinction, ce qui n’enlève rien à la pertinence de cet outil.
👉 Pour tester votre adresse IP, cliquez sur ce lien : GreyNoise IP Check.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.