Si Google indexe les pages web, Shodan indexe les appareils connectés à Internet. Serveurs, caméras IP, routeurs industriels, interfaces SCADA, bases de données exposées, équipements médicaux : depuis sa création en 2009 par John Matherly, Shodan scanne en permanence l’ensemble de l’espace d’adressage IPv4, soit plus de 4 milliards d’adresses pour cartographier tout ce qui répond sur un port réseau.
Pour un pentester, Shodan est bien plus qu’un outil de curiosité. C’est une plateforme de reconnaissance passive qui permet, sans envoyer un seul paquet vers la cible, de dresser une cartographie précise de sa surface d’attaque exposée : versions de logiciels, certificats TLS, bannières de services, vulnérabilités connues associées. Ce que Shodan révèle en quelques secondes peut prendre des heures à découvrir par une reconnaissance active classique et sans laisser la moindre trace dans les logs de la cible.
Cet article explique comment fonctionne Shodan, comment construire des requêtes avancées efficaces, et comment l’équipe Piirates l’intègre concrètement dans ses missions de test d’intrusion des phases OSINT initiales aux découvertes les plus critiques.
Qu’est-ce que Shodan ? Fonctionnement et architecture
Shodan est un moteur de recherche de surfaces d’attaque (Attack Surface Search Engine). Contrairement aux moteurs web classiques qui crawlent des liens hypertexte, Shodan fonctionne par scan réseau permanent. Ses crawlers envoient des requêtes de connexion sur les ports les plus courants — 80, 443, 22, 21, 23, 3389, 8080, 1883, 102, 502 et bien d’autres — sur l’ensemble des adresses IPv4 publiques. Ils collectent ensuite et indexent les bannières de réponse, c’est-à-dire les informations que les services renvoient lors d’une connexion.
Concrètement, pour chaque service découvert, les crawlers de Shodan établissent une connexion TCP avec la cible, négocient éventuellement TLS, et récupèrent la réponse brute du service avant de fermer proprement la connexion. Cette réponse — appelée bannière — est ensuite analysée, enrichie et stockée dans la base de données de Shodan. Le pentester qui consulte ensuite Shodan n’interagit jamais directement avec la cible : il interroge uniquement la base de données de Shodan, sans laisser aucune trace dans les logs des systèmes ciblés.
Ce que Shodan collecte concrètement
Pour chaque service découvert, Shodan stocke et indexe plusieurs catégories d’informations. La bannière de service constitue la base : c’est la réponse brute du service, que ce soit un header HTTP, une bannière SSH, une réponse FTP ou un certificat TLS. À partir de cette bannière, Shodan extrait la version du logiciel : Apache 2.4.51, OpenSSH 7.4, Cisco IOS 15.2, etc.
Les certificats TLS font l’objet d’une analyse détaillée : sujet, émetteur, date d’expiration, Subject Alternative Names (SANs). Ces données permettent d’identifier des domaines liés à la cible qui n’apparaîssent pas dans le DNS public. La localisation géographique est également enregistrée : pays, ville, ASN, fournisseur d’accès.
Enfin, Shodan croise les versions de logiciels identifiées avec la base NVD du NIST pour signaler automatiquement les CVE connues associées à chaque service. Les équipements sont aussi classés par tags : honeypot, ICS, IoT, cloud, self-signed, etc. Cette combinaison d’informations fait de chaque entrée Shodan un portrait technique précis d’un service exposé sur Internet.
Shodan vs Censys vs ZoomEye
Trois outils se partagent le marché des moteurs de recherche de surfaces d’attaque, chacun avec ses spécificités. Shodan est la référence absolue pour les environnements industriels et IoT, grâce à son indexation native des protocoles ICS/OT et à son intégration automatique des CVE. Son API est la plus riche et sa syntaxe de filtres (les Shodan Dorks) la plus puissante.
Censys est particulièrement performant pour l’analyse des certificats TLS et la découverte de domaines liés à une cible. Son point fort est la profondeur de l’analyse des infrastructures de certificats. ZoomEye, d’origine chinoise, est davantage orienté IoT et offre une couverture intéressante sur les équipements asiatiques, mais son API est plus limitée et l’intégration CVE moins aboutie que Shodan.
Pour la reconnaissance OSINT en pentest, Shodan reste la référence pour les environnements industriels et IoT. Censys est complémentaire pour l’analyse des certificats TLS et la découverte de domaines liés.
Toutes nos missions sont spécifiques
Parce que vos enjeux le sont !
Le pentest est avant tout une philosophie qui, couplé avec nos compétences techniques multiples peut s’adapter aux diffférentes cibles.
Indépendance totale
Expertise
Professionnalisme
Syntaxe et requêtes Shodan avancées : guide pratique
La puissance de Shodan réside dans sa syntaxe de filtres, appelés Shodan Dorks par analogie avec les Google Dorks. Ces filtres permettent de cibler précisément les résultats par IP, organisation, pays, port, technologie, vulnérabilité ou tout contenu de bannière. Les filtres se combinent librement pour affiner toujours davantage les résultats.
Filtres fondamentaux
Le filtre org: permet de rechercher tous les hôtes d’une organisation spécifique. Le filtre asn: cible un numéro d’AS (Autonomous System), plus précis que le nom d’organisation car il évite les homonymes. Le filtre country: limite les résultats aux hôtes d’un pays donné (code ISO). Le filtre port: cible les services exposés sur un port spécifique. Le filtre hostname: recherche les hôtes avec un domaine donné dans leur DNS inverse ou leurs certificats. Le filtre net: permet d’interroger une plage IP en notation CIDR.
Pour cibler des technologies précises, on utilise product: pour le nom du logiciel, version: pour une version spécifique, et os: pour le système d’exploitation. Le filtre vuln: (disponible sur les plans payants) retourne directement les hôtes exposés à une CVE spécifique. Le filtre ssl.cert.subject.cn: cible les hôtes en fonction de leur certificat TLS, et http.title: recherche les pages web par leur titre HTML.
Cartographier la surface d’attaque d’une organisation
La première étape d’une reconnaissance Shodan est généralement la cartographie complète de l’infrastructure exposée. La requête de base combine le nom de l’organisation et le pays :
org:"MECATRON SA" country:FR
Cette requête retourne typiquement plusieurs dizaines de résultats : VPN gateway, serveur mail, portail web, API REST, panneaux d’administration. Pour plus de précision, on cible directement l’ASN de l’organisation, ce qui évite les confusions avec d’autres entités portant le même nom :
asn:AS64496
La découverte via certificats TLS est particulièrement puissante pour trouver des sous-domaines non référencés dans le DNS public :
ssl.cert.subject.cn:"*.mecatron.fr"
Cette requête révèle fréquemment des environnements de staging, des portails d’administration et des APIs de test que la cible n’avait pas considéré comme étant exposés publiquement.
Identifier des versions vulnérables
Une fois les hôtes cartographiés, Shodan permet de cibler directement les versions vulnérables de logiciels. Pour identifier les serveurs Apache affectés par CVE-2021-41773 (path traversal critique) encore exposés en France :
product:"Apache httpd" version:"2.4.49" country:FR
Pour cibler les instances Pulse Secure VPN affectées par CVE-2021-22893 :
product:"Pulse Secure" http.title:"Welcome to Pulse Connect Secure" port:443
Avec un compte Shodan Pro, la requête vuln: permet de croiser directement les CVE avec les résultats d’une organisation :
vuln:CVE-2021-44228 org:"Nom Cible"
Combiner plusieurs filtres est la clé des requêtes Shodan efficaces. La combinaison org:« Cible » ssl.cert.subject.cn:« *.cible.fr » port:443,8443 vuln:CVE-2024-XXXX peut révéler en quelques secondes une instance vulnérable directement exploitable.
Découvrir des interfaces d’administration exposées
Shodan permet également d’identifier les interfaces d’administration exposées sur Internet. Les panneaux Kubernetes sont recherchés avec :
http.title:"Kubernetes" port:8080,8443,6443
Les bases de données MongoDB sans authentification :
product:"MongoDB" "MongoDB Server Information" port:27017 -authentication
Les instances Jenkins (pipelines CI/CD) en France :
http.title:"Dashboard [Jenkins]" country:FR
Les clusters Elasticsearch ouverts :
product:"Elastic" port:9200 http.status:200 -Set-Cookie
Cibler les environnements industriels et OT
Les protocoles industriels font l’objet d’un indexage spécifique par Shodan. Pour trouver les automates Siemens S7 exposés sur Internet via le protocole S7comm (port 102) :
port:102 "Siemens" country:FR
Les interfaces SCADA WinCC et HMI Siemens :
http.title:"WinCC" OR http.title:"SIMATIC HMI"
Pour un inventaire global des équipements industriels exposés en France :
tag:ics country:FR
Les équipements répondant sur le protocole Modbus (port 502), utilisé par les automates, compteurs et capteurs industriels :
port:502
Shodan dans un pentest : comment Piirates l’intègre à ses missions
L’utilisation de Shodan en pentest ne se résume pas à taper le nom d’une entreprise et regarder les résultats. C’est une démarche structurée qui s’inscrit dans la phase de reconnaissance OSINT et qui conditionne la stratégie d’attaque des phases suivantes.
La reconnaissance OSINT passive combine plusieurs sources complémentaires. LinkedIn et GitHub renseignent sur les identités, les technologies utilisées et l’organigramme. Les outils de surveillance de certificats comme crt.sh ou certspotter révèlent les sous-domaines et l’infrastructure cachée. WHOIS et les bases BGP fournissent les plages IP, les ASN et les informations d’hébergeur. Shodan et Censys apportent la couche technique : services exposés, versions de logiciels, CVEs. L’ensemble de ces sources alimenté en parallèle produit une cartographie complète de la surface d’attaque, qui oriente ensuite directement les phases actives de scan et d’exploitation.
Étape 1 : Périmètre initial : ce qu’on ne voit pas depuis un navigateur
La première utilisation de Shodan en début de mission est la cartographie complète de la surface exposée de la cible. L’objectif est d’identifier tout ce que la cible a exposé sur Internet, souvent sans en avoir pleinement conscience.
Dans la majorité des engagements, cette phase révèle des actifs oubliés ou inconnus de la DSI elle-même : un serveur de staging jamais dépublié, un ancien portail VPN sur un sous-domaine non documenté, une API de test laissée active en production, ou encore un équipement de monitoring accessible sans authentification.
Résultat typique : sur 10 missions, Piirates identifie en moyenne 3 à 5 actifs exposés que la DSI n’avait pas inclus dans le périmètre de l’audit et qui présentent souvent les vulnérabilités les plus critiques.
Étape 2 : Identification des versions et CVEs critiques
Une fois les hôtes cartographiés, Shodan permet d’identifier les versions de logiciels de chaque service exposé. Croisé avec les CVEs associées (Shodan Pro) et la base NVD du NIST, ce travail permet d’identifier les vecteurs d’exploitation les plus prometteurs avant de toucher la cible.
Exemple concret : lors d’une mission pour un éditeur de logiciel SaaS, Shodan identifie un serveur Confluence version 7.13.0 sur le sous-domaine wiki.client.fr. Cette version est affectée par CVE-2022-26134 une injection OGNL non authentifiée permettant l’exécution de code arbitraire (CVSS 9.8). L’information est disponible sur Shodan sans aucun contact avec le serveur cible.
⚠ CVE-2022-26134 sur Confluence 7.13.0 RCE non authentifiée, CVSS 9.8. Identifié via Shodan avant le début des tests actifs. Exploitable en une seule requête HTTP.
Étape 3 : Découverte des actifs cachés via les certificats TLS
Les certificats TLS sont une mine d’or pour la reconnaissance. Un certificat wildcard (*.domaine.fr) déployé sur un serveur expose tous les sous-domaines de l’organisation. La requête Shodan ssl.cert.subject.cn:«*.client.fr» retourne souvent des sous-domaines qui n’apparaissent pas dans le DNS public et que les outils de brute-force de sous-domaines ne trouvent pas.
Ces actifs cachés sont particulièrement intéressants car ils ont souvent été déployés rapidement, sans passer par le processus de sécurisation standard : environnements de développement, staging, plateformes de test, anciens services en cours de migration.
Étape 4 : Analyse des bannières pour extraire des informations internes
Les bannières de service peuvent révéler des informations précieuses sur l’infrastructure interne : chemins de fichiers dans les messages d’erreur HTTP, noms de domaines internes dans les certificats, stack technique précise, noms de machines dans les headers SSH.
Par exemple, un header HTTP Server peut révéler Apache/2.4.51 (Ubuntu) PHP/7.3.33, dévoilant ainsi la version exacte du serveur, du langage et du système d’exploitation. Un certificat TLS avec un SAN contenant internal-dc01.mecatron.local expose le nom du contrôleur de domaine interne. Une bannière FTP du type « 220 MECATRON-BACKUP-SRV FTP server ready » révèle le nom d’hôte du serveur de sauvegarde. Ces informations alimentent directement la phase de phishing ciblé et la construction des payloads d’exploitation.
Étape 5 : Ciblage OT/ICS pour les missions industrielles
Pour les missions de pentest en environnement industriel, Shodan est irremplaçable. Les protocoles ICS/OT, S7comm, Modbus, DNP3, EtherNet/IP, BACnet, sont spécifiquement indexés, ce qui permet d’identifier les automates, les interfaces HMI et les systèmes SCADA exposés directement sur Internet, souvent par inadvertance.
Dans le cadre de l’opération FERRUM (red team industriel), Shodan avait permis d’identifier dès la phase de reconnaissance le portail VPN Pulse Secure vulnérable et les services S7comm potentiellement accessibles depuis le périmètre externe. Ces informations ont orienté l’ensemble de la stratégie d’attaque.
⚠ En 2024, Shodan indexe plus de 14 000 équipements industriels exposés en France répondant aux protocoles ICS/OT. La majorité ne devrait pas être accessible depuis Internet.
Cas d’usage Shodan par secteur : ce que les attaquants cherchent
Comprendre comment Shodan est utilisé de façon malveillante, pas seulement par les pentesters, est essentiel pour évaluer son propre niveau d’exposition. Voici les cas d’usage les plus fréquents par secteur.
E-commerce et applications web
Les attaquants ciblent systématiquement les versions non patchées de CMS comme WordPress, Magento ou PrestaShop. Shodan indexe les headers et titres qui révèlent ces versions, permettant de trouver rapidement des cibles vulnérables. Les APIs REST non documentées sont également très recherchées : des endpoints sur des ports non standards (3000, 8080, 5000) sont fréquemment accessibles sans authentification, notamment des APIs de développement laissées actives en production.
http.title:"Express" port:3000,5000,8080 country:FR
Secteur industriel et infrastructure critique
Les automates et systèmes SCADA exposés représentent une cible de choix. Les équipements répondant sur les protocoles ICS sont directement listés par Shodan avec leurs modèles précis. Les interfaces de gestion d’énergie onduleurs, systèmes de monitoring électrique, gestion de bâtiment sont souvent accessibles sans authentification. Les caméras IP et systèmes de vidéosurveillance avec identifiants par défaut sont également fréquemment indexés.
port:47808 "BACnet"
Santé et données médicales
Les serveurs d’imagerie médicale (radiologie, scanner) accessibles via le protocole DICOM (port 104) constituent une vulnérabilité critique dans le secteur. Des milliers de records patients sont potentiellement accessibles depuis Internet. Les anciens logiciels de gestion patient avec interfaces web exposées et versions obsolètes sont également ciblés.
port:104 "DICOM" country:FR
Banque, finance et paiement
Dans le secteur financier, Shodan permet d’identifier les panneaux d’administration de passerelles de paiement exposés sur des ports non standards. Les certificats TLS qui expirent bientôt sont également un signal intéressant, ils indiquent une dette technique souvent corrélée à des logiciels non maintenus :
ssl.cert.expired:true org:"Nom organisation" port:443
Cloud et DevOps
Les interfaces Kubernetes exposées sans authentification permettent un accès potentiel aux secrets et aux déploiements. Les registries Docker (port 5000) accessibles publiquement permettent de lister et télécharger les images applicatives. Les pipelines CI/CD, Jenkins, GitLab CI exposés donnent accès aux secrets de déploiement, aux clés SSH et aux tokens d’API.
port:5000 "Docker Registry" -"401 Unauthorized"
Shodan API et intégration dans les outils de pentest
Au-delà de l’interface web, Shodan expose une API REST complète qui permet d’automatiser la collecte d’informations et de l’intégrer dans les pipelines de reconnaissance et les outils de pentest.
Shodan CLI : utilisation en ligne de commande
L’outil CLI officiel de Shodan (pip install shodan) permet d’interroger l’API directement depuis le terminal. Après initialisation avec la clé API, on peut lancer des recherches, exporter les résultats en JSON, obtenir toutes les informations sur une IP (ports ouverts, bannières, CVEs, géolocalisation, historique), et configurer des alertes de surveillance en temps réel via Shodan Monitor. Cette dernière fonctionnalité permet de recevoir une notification dès qu’un nouveau service est découvert sur une plage IP surveillée.
Intégration avec les frameworks OSINT
Shodan s’intègre nativement avec plusieurs frameworks de reconnaissance offensifs. Recon-ng dispose d’un module dédié pour enrichir automatiquement une liste d’hôtes avec les données Shodan. Maltego propose une transform Shodan pour visualiser les liens entre IPs, domaines, organisations et services dans un graphe. SpiderFoot intègre Shodan dans ses workflows d’OSINT automatisé. Enfin, l’API Python Shodan (import shodan) permet de construire des pipelines de reconnaissance sur mesure adaptés aux besoins spécifiques de chaque mission.
Shodan Monitor : surveillance continue de la surface d’attaque
Shodan Monitor est une fonctionnalité payante qui permet de surveiller en permanence une plage IP ou une organisation. Elle notifie à chaque nouveau service découvert, nouvelle CVE identifiée sur les services existants, ou changement dans les bannières. C’est un outil de gestion continue de la surface d’attaque (CAASM : Continuous Attack Surface Management) accessible à un coût nettement inférieur aux solutions commerciales dédiées.
✓ Même sans Shodan Monitor, la combinaison Shodan + Censys + crt.sh + WHOIS, lancée périodiquement via des scripts automatisés, permet de construire un système de surveillance de surface d’attaque efficace pour les organisations qui souhaitent anticiper leur exposition.
Limites de Shodan et utilisation éthique
Ce que Shodan ne fait pas
Première limite importante : Shodan ne scanne pas à la demande. Les données affichées sont issues du scan continu de Shodan et peuvent avoir plusieurs jours, voire plusieurs semaines de retard. Un service découvert peut avoir été patché ou retiré depuis la dernière indexation.
Shodan ne voit pas non plus derrière les CDN. Les services protégés par Cloudflare, Akamai ou Fastly ne montrent que l’IP du CDN, pas l’infrastructure réelle. Les scans Shodan portent par ailleurs uniquement sur les ports les plus courants : des services sur des ports non standards peuvent ne pas être indexés.
Enfin, la précision des CVEs est variable. Shodan croise les versions de bannières avec les CVEs, mais une bannière peut ne pas refléter le niveau réel de patch, certains éditeurs modifiant les bannières sans changer la version affichée.
Cadre légal et éthique
Shodan est un outil légal. Il collecte des informations publiquement disponibles sur des services accessibles depuis Internet, exactement comme un navigateur web accède à une page publique. Consulter Shodan sur une cible ne constitue pas en soi une intrusion.
En revanche, utiliser les informations issues de Shodan pour tenter d’exploiter des vulnérabilités sans autorisation est illégal en France (article 323-1 du Code pénal) et dans la quasi-totalité des pays. Dans le cadre d’un pentest, toute utilisation de Shodan s’inscrit dans les règles d’engagement signées entre le prestataire et le client.
⚠ Utiliser Shodan pour reconnaître et attaquer un système sans autorisation est constitutif d’accès frauduleux à un STAD (Système de Traitement Automatisé de Données) délit passible de 2 ans d’emprisonnement et 60 000 euros d’amende en France.
Shodan du côté défensif : surveiller sa propre exposition
La même logique qui fait de Shodan un outil offensif redoutable en fait aussi un outil de défense proactive. Rechercher son organisation sur Shodan régulièrement permet d’identifier les actifs exposés à l’insu de l’équipe IT, les services avec des versions obsolètes, les certificats expirés, et les équipements oubliés avant qu’un attaquant ne le fasse. C’est ce qu’on appelle l’Attack Surface Management (ASM) une pratique que l’ANSSI recommande comme composante de toute politique de sécurité offensive proactive.
L’approche Piirates, la reconnaissance comme fondation de chaque pentest
Aucun test d’intrusion ne commence sans une phase de reconnaissance OSINT structurée. Shodan est utilisé dans cette phase, en combinaison avec d’autres sources (crt.sh, LinkedIn, WHOIS, GitHub, Google Dorks) pour dresser la cartographie la plus complète possible de la surface d’attaque exposée avant de toucher quoi que ce soit.
Cette approche passive-first a plusieurs avantages concrets : elle maximise la couverture des actifs testés (y compris ceux que le client n’avait pas listés), elle permet de prioriser les vecteurs d’attaque les plus prometteurs, et elle produit des découvertes à fort impact dès les premières heures d’une mission là où un scan actif classique nécessiterait plusieurs jours de travail préalable.
La qualité de la phase de reconnaissance conditionne directement la profondeur et la pertinence de tout le reste du pentest. C’est cette conviction qui anime l’approche technique de Piirates sur chacune de ses missions de test d’intrusion IT et OT.
Évaluer votre périmètre
Ce que nous ne faisons pas
(Liste non exhaustive)
Piratage de boite mail
Piratage comptes réseaux sociaux
Espionnage
Exfiltration de sms
Récupération de Cryptomonnaies
Prise en main à distance de véhicules
Suivi GPS de véhicule
Envoyez nous un ping
Nmap est un outil de scan actif : il envoie des paquets réseau vers les cibles et analyse les réponses en temps réel. C’est une action active qui laisse des traces dans les logs des systèmes scannés et qui nécessite une autorisation explicite de la cible. Shodan est un outil de consultation passive : il consulte une base de données constituée par ses crawlers. Aucun paquet n’est envoyé vers la cible lors de la consultation. En termes de discrétion, Shodan est infiniment plus adapté à la phase de reconnaissance initiale d’un pentest.
La fréquence de mise à jour varie selon les plans et les types de données. Pour les plans standard, les données ont généralement quelques jours à quelques semaines de retard. Les plans Enterprise et les fonctionnalités Shodan Monitor permettent une surveillance quasi-temps-réel. Pour la reconnaissance offensive, ce délai est généralement acceptable : un serveur vulnérable présent depuis plusieurs semaines l’est souvent depuis bien plus longtemps.
Oui, et c’est précisément son utilité pour la sécurité. Shodan indexe tout ce qui répond sur un port ouvert depuis une adresse IP publique — y compris les équipements qui ont été exposés par erreur : routeurs mal configurés, services de maintenance oubliés, interfaces de gestion déployées temporairement. Ces actifs invisibles dans les inventaires IT sont souvent les plus vulnérables car ils ne font l’objet d’aucune surveillance.
La requête la plus simple est org:« Nom de votre organisation » ou net:VOTRE_PLAGE_IP sur l’interface web de Shodan. Sans compte payant, les résultats sont limités mais suffisants pour avoir une première idée de l’exposition. La recherche par certificat TLS (ssl.cert.subject.cn:«*.votredomaine.fr») est particulièrement utile pour découvrir des actifs exposés non référencés dans le DNS public.
Shodan : fonctionnement, requêtes avancées, cas d’usage en pentest et OSINT. Comment Piirates utilise Shodan lors de ses missions de test d’intrusion.
