La vague du web 2.0, et en particulier la liste croissante de réseau sociaux (Facebook, mySpace, LinkedIn, Pulse, ...) fait apparaître de manière flagrante la problématique des traces qu'un utilisateur laisse derrière lui sur le Net. Depuis peu, ces traces portent même un nom: on les appelle "ombre numérique" !
 
Alors que certains s'offusquent des caméras vidéo dont les images sont conservées 24 heures seulement, d'autres (ou les mêmes, peut-être) mettent à jour leur profil Facebook d'heure en heure, sans même réaliser que le Net possède une incroyable mémoire. On en veut pour preuve la difficulté à supprimer une information des trois gros moteurs de recherches que sont Google, Yahoo et Live de Microsoft. Et même alors, des services comme http://www.archive.org/ nous permettent de remettre la main sur ces informations.
 
Johnny Long, avec son célèbre livre "Google Hacking", a démontré l'importance des moteurs de recherche dans la découverte et l'analyse de vulnérabilités web. Récemment, un nouvel outil nommé Goolag est apparu, qui permet d'automatiser les méthodes décrites par Johnny Long dans son livre.
 
Mais pour en revenir au Web 2.0, il était prévisible qu'un outil apparaisse pour nous aider à faire des recherches dans les fameuses "ombres numériques" d'individus, mais aussi de sociétés, de marques, ou de noms de produits. Cet outil s'appelle Maltego, et se télécharge sur le site de Paterva. Son développeur n'est autre que Roelof Temmingh, ancien membre de Sensepost, et accessoirement co-auteur de la nouvelle édition du livre de Johnny Long !
 
Maltego permet de trouver facilement, et de manière visuelle, des informations telles que les différentes adresses e-mail potentielles d'une personne, des numéros de téléphone qui pourraient lui être associés, et bien d'autres choses encore. L'outil permet aussi d'automatiser les tâches de "footprinting" en vue d'un test de pénétration: en partant du nom d'une société, on remontera facilement à son infrastructure technique (serveurs DNS, serveurs Web, serveurs Mail, hébergeur, ...)
 
Chez Navixia, nous utilisons Maltego de façon régulière dans le cadre de certains mandats. En plus d'être un outil technique de qualité, Maltego nous montre quels pourraient être les risques et les vulnérabilités de demain ! Si vous êtes intéressé à en savoir plus, nous nous tenons This e-mail address is being protected from spam bots, you need JavaScript enabled to view it .