1. Livres & vidéos
  2. Certified Ethical Hacker
  3. Scanning et énumération des réseaux
Extrait - Certified Ethical Hacker Préparation à la certification CEH
Extraits du livre
Certified Ethical Hacker Préparation à la certification CEH Revenir à la page d'achat du livre

Scanning et énumération des réseaux

Prérequis et objectifs

1. Prérequis

Le scanning et l’énumération constituent une phase centrale du processus de test d’intrusion. Ce chapitre s’adresse à des lecteurs qui ont des notions de base en réseau informatique, notamment le modèle TCP/IP, la notion de ports et d’adresses IP.

Si vous avez déjà utilisé des machines virtuelles via VirtualBox, VMware ou Hyper-V, vous partez avec une longueur d’avance. Ce type de configuration vous permettra de simuler des environnements réels (serveurs Windows, postes Linux, pare-feu, etc.) sans risquer d’impacter votre réseau ou celui de quelqu’un d’autre. Des distributions spécialisées comme Kali Linux vous fourniront l’ensemble des outils nécessaires pour la phase de scanning et d’énumération.

Mais la technique ne fait pas tout. Il est tout aussi important de savoir interpréter les résultats produits par les outils. Un scan de ports ou une analyse de bannières ne sont utiles que si vous êtes capable d’en tirer des conclusions exploitables. Par exemple, identifier qu’un port 445 est ouvert n’a d’intérêt que si vous comprenez les implications de la présence du service SMB derrière ce port, et les vulnérabilités qui pourraient y être associées.

2. Objectifs...

Scanning : méthodologie et préparation

Après avoir collecté des informations publiques lors de la phase de reconnaissance (footprinting), l’analyste passe à une étape plus directe et active : l’interaction avec les systèmes repérés. Jusqu’ici, il a observé discrètement depuis les coulisses. À présent, il s’approche de la scène, examine les portes, écoute les bruits derrière les murs. Il ne s’agit pas encore de forcer l’entrée, mais d’identifier les ouvertures, de repérer les points d’accès, et d’évaluer la structure. Le scanning constitue cette première forme de dialogue avec la cible. Et comme tout bon dialogue, il repose sur une méthode rigoureuse.

1. Étapes de la méthodologie CEH

Le CEH définit le scanning comme un processus structuré en plusieurs phases successives, chacune répondant à une question précise : Qui est là ? Que fait-il ? Est-il vulnérable ? Nous allons voir ensemble les grandes étapes de cette méthodologie.

images/06CEH01.png

a. Identifier les systèmes actifs

La première mission consiste à déterminer quelles machines sont réellement actives et accessibles sur un réseau donné. Pour cela, on effectue ce que l’on appelle un ping sweep, c’est-à-dire l’envoi de paquets ICMP Echo Request à un ensemble d’adresses IP, dans l’attente de réponses (Echo Reply) indiquant que l’hôte est en ligne.

Cependant, cette méthode classique présente des limites. De nombreux pare-feu bloquent aujourd’hui les requêtes ICMP pour des raisons de sécurité. Dans ces cas-là, des alternatives existent : envoyer des paquets TCP SYN à des ports courants (comme le 80 ou le 443), ou utiliser des paquets ARP (Address Resolution Protocol) sur les réseaux locaux. L’ARP présente l’avantage d’être toujours nécessaire à la communication dans un sous-réseau, et donc très fiable pour détecter les hôtes...

Communication réseau et notions fondamentales

Le scanning n’est pas qu’une affaire d’outils ou de commandes à lancer. Derrière chaque requête envoyée par Nmap ou Netcat se cache une communication réseau bien réelle, avec ses règles, ses formats, ses limites et ses opportunités. Pour devenir un bon hacker éthique (et pour réussir l’examen CEH), il est crucial de maîtriser les bases du fonctionnement du protocole TCP/IP et des échanges entre machines. Comprendre les mécanismes sous-jacents vous permettra d’interpréter les réponses correctement, d’éviter les faux positifs, et surtout de gagner en efficacité et en discrétion.

1. Ports TCP/UDP et services à connaître

Chaque service réseau (serveur web, SSH, base de données, etc.) écoute sur un port spécifique. Un port n’est rien d’autre qu’un point d’entrée logique sur une machine, associé à une application donnée. Le modèle TCP/IP, qui régit la quasi-totalité des communications sur Internet, repose sur l’idée que plusieurs applications peuvent fonctionner simultanément sur une machine, à condition qu’elles utilisent des ports différents.

Il existe 65 535 ports TCP et autant pour UDP. Parmi eux, les 1024 premiers sont appelés ports bien connus (well-known ports) car ils sont associés à des services standards. Voici quelques ports incontournables à connaître pour le CEH :

Port

Protocole

Service associé

21

TCP

FTP (File Transfer Protocol)

22

TCP

SSH (Secure Shell)

23

TCP

Telnet

25

TCP

SMTP (e-mail envoi)

53

UDP/TCP

DNS (Domain Name System)

80

TCP

HTTP (Web)

110

TCP

POP3 (e-mail réception)

143

TCP

IMAP

443

TCP

HTTPS (Web sécurisé)...

Techniques de scan avec Nmap

Polyvalent, rapide, personnalisable, et redoutablement efficace, Nmap fait partie des indispensables de tout testeur en sécurité. Que vous souhaitiez simplement savoir quels ports sont ouverts sur une machine ou que vous cherchiez à découvrir les vulnérabilités d’un service, Nmap vous accompagnera à chaque étape du scanning.

Mais pour tirer pleinement parti de ses capacités, il faut comprendre comment il fonctionne, quelles options utiliser selon vos besoins, et surtout comment interpréter ses résultats.

1. Présentation de Nmap

Nmap est un outil en ligne de commande, disponible par défaut sur Kali Linux, mais aussi téléchargeable pour Windows, macOS et autres distributions. Il permet d’effectuer des scans de ports (TCP, UDP), des détections de services et de systèmes d’exploitation, des analyses de versions, et même des recherches de vulnérabilités via son moteur de scripts NSE (Nmap Scripting Engine).

Pour ceux qui préfèrent les interfaces graphiques, Zenmap est l’équivalent GUI de Nmap. Bien qu’un peu moins riche en options, il offre une bonne visualisation des résultats pour les débutants.

Voici une commande Nmap typique :

nmap -sS -sV -O 192.168.1.10

Ce que l’on fait avec ce scan :

  • utiliser un SYN scan (-sS) ;

  • détecter les versions des services (-sV) ;

  • tenter d’identifier le système d’exploitation (-O) ;

  • sur la machine cible à l’IP 192.168.1.10.

2. Types de scans selon les flags TCP

Nmap propose plusieurs types de scans, chacun utilisant des combinaisons spécifiques de flags TCP pour sonder la cible. Le choix du scan dépend de ce que vous cherchez à apprendre… et du niveau de furtivité souhaité.

Voici les principaux types de scans à connaître pour l’examen CEH :

Type de scan...

Autres outils de scanning utiles

Même si Nmap reste la référence incontournable en matière de scanning, il ne couvre pas tous les besoins. Selon les objectifs, le contexte technique ou les préférences de l’analyste, d’autres outils peuvent s’avérer plus simples, plus rapides ou mieux adaptés à des tâches spécifiques. Il est important, en tant que futur hacker éthique, de ne pas vous enfermer dans un seul outil, mais au contraire d’élargir votre boîte à outils pour rester efficace dans tous les environnements.

Certains de ces outils sont très légers et conçus pour des tâches précises, d’autres offrent des interfaces graphiques conviviales, et certains sont particulièrement utiles pour des tests en environnement Windows. Leur maîtrise vous apportera de la souplesse dans vos audits, et vous permettra parfois d’obtenir des résultats qu’un Nmap un peu trop bruyant ne permettrait pas.

1. hping3 : le couteau suisse

Là où Nmap automatise les scans et décide pour vous de la structure des paquets envoyés, hping3 vous rend le contrôle total sur les échanges. Il vous permet de générer manuellement des paquets TCP, UDP ou ICMP avec les paramètres de votre choix : vous choisissez les flags TCP à activer, la taille...

Énumération des services et des ports

Si le scanning permet de savoir quelles portes sont ouvertes sur une machine, l’énumération, elle, consiste à regarder ce qui se cache derrière ces portes. C’est une phase active, plus intrusive, où l’objectif n’est plus simplement de détecter la présence d’un service, mais d’obtenir des informations détaillées sur son fonctionnement, sa version, sa configuration, voire sur les utilisateurs et les ressources du système. À ce stade, le testeur ne se contente plus d’observer ; il commence à interagir.

L’énumération repose sur une idée simple : de nombreux services réseau, par défaut ou mal configurés, fournissent une quantité d’informations bien plus grande que nécessaire. Cette verbosité est une aubaine pour l’attaquant, mais un risque majeur pour la sécurité d’un système. SMTP, FTP, SNMP, NetBIOS ou LDAP sont autant de services qui, s’ils ne sont pas correctement verrouillés, peuvent révéler des identifiants d’utilisateurs, des structures de répertoire, des noms de domaine internes ou des configurations système critiques.

1. L’art d’interroger un service avec subtilité

Énumérer un service...

Analyse des résultats et exploitation initiale

Arrivé à ce stade, l’analyste n’est plus un simple observateur du réseau. Il est devenu un interlocuteur actif, ayant échangé des paquets avec les systèmes cibles, identifié les services en écoute, recueilli des informations techniques précises sur les versions, les configurations, voire sur les utilisateurs. Pourtant, toutes ces données ne constituent encore que des matières brutes. L’étape suivante, celle de l’analyse, consiste à transformer ces observations en informations exploitables. C’est un travail d’interprétation, de croisement, d’hypothèses. C’est aussi une étape où l’intuition et l’expérience prennent progressivement le relais des outils.

Le but ici n’est pas encore d’exploiter les failles, mais de préparer le terrain intelligemment. Cela signifie repérer les cibles les plus prometteuses, comprendre comment elles s’articulent entre elles, et commencer à identifier les faiblesses logiques ou techniques qui méritent d’être testées en profondeur. C’est une transition stratégique entre la phase de reconnaissance et celle d’exploitation, et c’est souvent à ce moment que se joue la réussite ou l’échec d’un pentest.

1. Organiser et interpréter les données collectées

L’un des pièges fréquents chez les débutants est de se laisser submerger par les résultats. Un scan Nmap peut...

Travaux pratiques

1. Scanner et énumérer les services d’un réseau cible

Objectif du TP

L’objectif de ce TP est double. D’une part, vous allez consolider vos compétences techniques en manipulant Nmap de manière concrète et progressive. D’autre part, vous allez apprendre à raisonner comme un analyste, c’est-à-dire à donner du sens aux résultats, à repérer ce qui est normal et ce qui ne l’est pas, à structurer une analyse et à formuler des hypothèses pour les prochaines étapes du pentest.

À la fin de ce TP, vous saurez :

  • identifier les ports ouverts d’une machine distante ;

  • analyser les services exposés et leurs versions ;

  • restreindre ou élargir un scan selon vos besoins ;

  • préparer un rapport de scan structuré et exploitable.

Environnement et prérequis

Avant de commencer, assurez-vous de disposer d’un environnement Linux (Debian, Ubuntu ou Kali) ou d’un système sur lequel vous pouvez installer Nmap. Ce TP utilise comme cible scanme.nmap.org, un hôte volontairement exposé par les développeurs de Nmap pour permettre aux utilisateurs de s’exercer sans enfreindre la loi. Veillez à ne jamais scanner des machines sans autorisation explicite.

Si Nmap n’est pas encore installé, exécutez les commandes suivantes...

Validation des acquis : questions/réponses

Si l’état de vos connaissances sur ce chapitre vous semble suffisant, répondez aux questions ci-après.

1. Questions

1 Quelle est la différence entre le scanning et l’énumération ?

2 Quel est l’objectif d’un ping sweep ? Pourquoi cette méthode peut-elle échouer ?

3 Que signifie la présence d’un port « filtré » lors d’un scan Nmap ?

4 Quelle est la différence entre un scan TCP Connect (-sT) et un scan SYN (-sS) ?

5 Pourquoi le protocole ARP est-il particulièrement utile en environnement local (LAN) ?

6 Que permet la commande nmap -sV ?

7 À quoi sert le flag TCP RST dans le contexte du scanning ?

8 Pourquoi l’outil Wireshark est-il utile en complément d’un scanner comme Nmap ?

9 En quoi l’énumération SNMP peut-elle représenter un danger pour une entreprise ?

10 Pourquoi est-il important d’interpréter les résultats d’un scan et non de se contenter d’une simple liste de ports ?

2. Résultats

Référez-vous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un point.

Nombre de points :     /10

Pour le chapitre Scanning et énumération des réseaux...