DPAPI et Domain Admin
DPAPI et Domain Admin : comment les pentesters pillent les secrets chiffrés de Windows
9 juin 2026

Énumération de sous-domaines : pourquoi votre surface d’attaque est bien plus grande que vous ne le pensez

enumeration de sous domaine

Votre équipe sécurité surveille votre domaine principal. Mais savez-vous combien de sous-domaines sont exposés sur Internet ? Et parmi eux, combien hébergent des applications oubliées, des serveurs de développement, des interfaces d'administration accessibles publiquement ? La subdomain enumeration (découverte de sous-domaines) : ou découverte de sous-domaines : est la première étape de toute reconnaissance offensive sérieuse.

Donnée terrain PIIRATES : lors de nos missions de pentest externe, nous découvrons en moyenne 3 à 5 sous-domaines critiques non référencés dans l'inventaire de sécurité de nos clients. Ces actifs oubliés représentent souvent le chemin d'entrée le plus simple pour un attaquant.

PIIRATES réalise des cartographies complètes de votre surface d'attaque externe. Demandez votre audit →

Qu'est-ce que l'énumération de sous-domaines ?

 

L'énumération de sous-domaines (ou subdomain enumeration, soit la découverte de sous-domaines,) désigne l'ensemble des techniques permettant d'identifier tous les sous-domaines actifs associés à un domaine cible. Elle constitue une phase fondamentale de la reconnaissance externe (recon) dans toute mission de pentest, de bug bounty ou de red team.

Un sous-domaine est un préfixe ajouté au domaine racine : mail.example.com, api.example.com, staging.example.com. Chacun représente potentiellement un service distinct, une application autonome, un point d'entrée dans votre système d'information. La cartographie DNS de ces actifs est le point de départ de toute évaluation sérieuse de la surface d'attaque externe.

 

Pourquoi l'énumération de sous-domaines est un vecteur d'attaque critique

 

Chaque sous-domaine est une application potentielle, un service exposé, une surface d'attaque. Les sous-domaines oubliés ou mal sécurisés sont des portes d'entrée idéales pour un attaquant qui pratique la reconnaissance passive avant toute intrusion :

  • staging.example.com : environnement de recette avec des données réelles et sans WAF
  • admin.example.com : interface d'administration sans MFA, exposée publiquement
  • old.example.com : ancienne version du site non patchée depuis 3 ans
  • vpn.example.com : serveur VPN avec une version vulnérable de l'appliance
  • dev.example.com : serveur de développement avec des credentials en dur dans le code source
  • backup.example.com : serveur de sauvegarde FTP ou rsync accessible sans authentification
  • api-v1.example.com : ancienne version d'API sans contrôle d'accès, toujours résolue par le DNS

Ces actifs ne figurent pas dans votre CMDB. Ils ne sont pas dans le périmètre de vos scans internes. Mais ils sont indexés par Shodan, Censys, FOFA et les moteurs de recherche spécialisés. Un attaquant motivé les trouvera en moins d'une heure.

 

Les techniques d'énumération de sous-domaines

 

Recherche passive (OSINT) : sans contact direct avec la cible

La reconnaissance passive consiste à collecter des informations sur la cible sans envoyer de paquets directement vers ses serveurs. Elle est indétectable et légale sans autorisation préalable.

  • Certificate Transparency Logs : crt.sh : chaque certificat SSL/TLS émis par une autorité de certification est enregistré dans des logs publics. Il suffit de requêter crt.sh/?q=%.example.com pour obtenir tous les certificats historiques et en déduire des sous-domaines. Certains certificats wildcard (*.example.com) révèlent également la politique de déploiement.
  • DNS passif (pDNS) : des bases de données comme SecurityTrails, VirusTotal, RapidDNS ou PassiveTotal agrègent des années de résolutions DNS. Un sous-domaine retiré de votre inventaire il y a 2 ans y est encore listé : avec son ancienne adresse IP.
  • Moteurs de recherche spécialisés : Shodan, Censys et FOFA indexent les services exposés sur Internet. Une requête ssl.cert.subject.cn:example.com sur Censys retourne tous les services avec un certificat correspondant à votre domaine.
  • Google Dorks et Bing : site:example.com -www liste les sous-domaines indexés par Google. Simple, gratuit, redoutablement efficace.
  • Sources GitHub et GitLab : les développeurs exposent involontairement des sous-domaines dans leurs fichiers de configuration, leurs fichiers .env, leurs workflows CI/CD ou leurs Dockerfiles poussés sur des dépôts publics.
  • chaos.projectdiscovery.io : base de données publique de sous-domaines issus de programmes de bug bounty, alimentée en continu par la communauté.
  • Autonomous System (AS) et WHOIS : l'identification des plages IP déclarées par l'organisation via son numéro d'AS permet de cartographier tous les espaces d'adressage lui appartenant, y compris les sous-domaines résolus sur ces plages.

 

Recherche active : avec interaction directe sur le DNS

La reconnaissance active envoie des requêtes directement vers les serveurs DNS de la cible ou effectue des résolutions massives. Elle nécessite une autorisation écrite du propriétaire dans un cadre légal.

  • Brute force DNS (dictionary attack) : test systématique de sous-domaines courants à partir de wordlists spécialisées. Les listes comme SecLists/Discovery/DNS contiennent plusieurs millions d'entrées. Outils : dnsx, puredns, shuffledns.
  • Zone transfer (AXFR) : si le serveur DNS est mal configuré, une requête AXFR retourne la totalité de la zone DNS , soit tous les enregistrements d'un coup. Cette mauvaise pratique persiste sur des infrastructures vieillissantes.
  • Reverse DNS et PTR records : résolution inverse des plages d'IP associées à l'organisation pour identifier des hôtes non référencés côté DNS forward.
  • Permutations et altérations : génération de variantes à partir des sous-domaines déjà connus (apiapi-v2, api-prod, api-test). Outil : altdns.
  • Scraping de wayback machine : l'Internet Archive conserve des snapshots historiques qui révèlent des sous-domaines utilisés dans le passé mais toujours actifs.

 

Outils d'énumération de sous-domaines utilisés par PIIRATES

  • Amass (OWASP) : framework d'énumération de surface d'attaque, très complet, combine sources passives et techniques actives au sein d'un seul outil
  • Subfinder (ProjectDiscovery) : rapide et efficace, agrège plus de 50 sources passives simultanément
  • dnsx (ProjectDiscovery) : résolution et validation DNS très rapide des sous-domaines découverts, supporte les wildcard filtering
  • puredns : brute force DNS à haute vitesse avec résolution validée par des resolvers publics
  • Nuclei (ProjectDiscovery) : scan de vulnérabilités basé sur des templates sur les sous-domaines identifiés, couvre subdomain takeover, expositions d'API, panels d'administration
  • httpx (ProjectDiscovery) : fingerprinting des services web actifs sur chaque sous-domaine : technologies, codes de réponse, titres, certificats
  • altdns : génération de permutations et altérations à partir des sous-domaines connus
  • SecurityTrails / Shodan / Censys : sources d'intelligence externes pour enrichir la collecte passive

Votre surface d'attaque est plus grande que votre CMDB

PIIRATES cartographie l'intégralité de votre surface d'attaque DNS : sous-domaines oubliés, services cloud exposés, certificats révélateurs, enregistrements DNS dangling. Une vue complète que votre inventaire interne ne donne pas.

Comment PIIRATES cartographie vos sous-domaines : la méthode en 5 étapes

 

Notre approche combine systématiquement reconnaissance passive et active pour couvrir l'intégralité du périmètre. Voici comment se déroule une mission de cartographie de surface d'attaque externe.

 

Étape 1 : Collecte passive multi-sources

Avant d'envoyer le moindre paquet vers votre infrastructure, nous collectons toutes les données accessibles publiquement. Cette phase est entièrement silencieuse et reste invisible pour vos systèmes de détection.

  • Requêtes sur les Certificate Transparency Logs via crt.sh et Facebook CT
  • Collecte via Subfinder sur plus de 50 sources passives (VirusTotal, SecurityTrails, Shodan, Censys, chaos.projectdiscovery.io, RapidDNS, FOFA...)
  • Recherche de sous-domaines dans les dépôts GitHub et GitLab publics associés à l'organisation
  • Extraction depuis l'Internet Archive (Wayback Machine) et les résultats de moteurs de recherche
  • Identification du ou des numéros d'Autonomous System (ASN) pour cartographier les plages IP de l'organisation

 

Étape 2 : Énumération active et brute force DNS

Une fois les données passives consolidées, nous lançons une phase active pour découvrir ce que les sources publiques ne couvrent pas.

  • Brute force DNS avec des wordlists adaptées au secteur de l'organisation (SecLists, wordlists métiers spécialisées)
  • Test de zone transfer (AXFR) sur les serveurs DNS autoritaires identifiés
  • Génération de permutations avec altdns à partir des sous-domaines découverts (apiapi-prod, api-v2, api-staging...)
  • Résolution et validation massive via puredns et dnsx avec filtrage des faux positifs wildcard

 

Étape 3 : Fingerprinting et analyse des services

Chaque sous-domaine résolu est ensuite sondé pour identifier les services actifs et les premières vulnérabilités exposées.

  • Détection des services HTTP/HTTPS actifs avec httpx (codes de réponse, technologies, titres, certificats)
  • Screenshot automatique de chaque interface web pour identification visuelle rapide
  • Identification des technologies exposées : CMS, frameworks, versions, headers de sécurité manquants
  • Détection des enregistrements DNS dangling (CNAME pointant vers un service inexistant)

 

Étape 4 : Scan de vulnérabilités ciblé sur la surface découverte

Une fois la cartographie réalisée, Nuclei est déployé avec des templates spécifiques pour détecter les expositions critiques.

  • Templates de détection de subdomain takeover (Heroku, GitHub Pages, AWS S3, Azure, Netlify, Fastly...)
  • Détection de panels d'administration exposés (Jenkins, Kibana, Grafana, Consul, phpMyAdmin...)
  • Identification d'API sans authentification, de fichiers de configuration accessibles (.env, wp-config.php, credentials.json...)
  • Détection de versions vulnérables connues (CVEs publiées)

 

Étape 5 : Livraison et remédiation

  • Rapport exécutif avec cartographie visuelle de la surface d'attaque
  • Liste priorisée des actifs critiques avec niveau de risque (CVSS adapté)
  • Plan de remédiation actionnable : suppression des enregistrements DNS obsolètes, isolation des environnements de recette, mise en place du monitoring continu
  • Présentation COMEX/CODIR disponible sur demande

 

Le risque de Subdomain Takeover : l'attaque la plus sous-estimée

 

Le subdomain takeover (ou CNAME hijacking) est l'une des vulnérabilités les plus courantes et les plus sous-estimées dans la gestion DNS. Le principe est simple : un sous-domaine de votre organisation pointe via un enregistrement CNAME vers un service externe (Heroku, GitHub Pages, Amazon S3, Azure, Netlify, Fastly...) qui a été supprimé ou libéré. L'attaquant n'a plus qu'à recréer ce service sur la plateforme concernée pour en prendre le contrôle.

Impact réel d'un subdomain takeover :

  • Phishing crédible sous votre domaine légitime (le navigateur affiche votre domaine, sans alerte)
  • Vol de cookies de session si le cookie scope inclut le sous-domaine pris en charge
  • Injection de contenu malveillant (malware, faux formulaires de saisie)
  • Contournement de politiques CORS ou CSP configurées sur le domaine parent
  • Impact sur la réputation et la conformité (RGPD, NIS2) si des données sont exfiltrées

Les plateformes les plus fréquemment impliquées dans des subdomain takeovers documentés : GitHub Pages, Heroku, AWS S3, Azure App Service, Fastly, Shopify, Zendesk, Tumblr. Des outils comme can-i-take-over-xyz (dépôt GitHub de référence) recensent en continu les services vulnérables à cette technique.

 

Quelle est réellement votre surface d'attaque DNS ? PIIRATES la cartographie et l'analyse →
picto-independance

Indépendance totale

La garantie d'un audit objectif, dans votre seul intérêt. Aucun conflit d'intérêt avec un éditeur ou un intégrateur.
picto-expertise

Expertise offensive

Des opérateurs spécialisés en reconnaissance externe et recon methodology qui maîtrisent les techniques d'attaque réelles, pas seulement les scanners automatiques.
picto-professionnalisme

Professionnalisme

Des livrables exploitables directement dans vos outils de pilotage : rapport exécutif, plan de remédiation priorisé, cartographie visuelle, présentation COMEX.

Énumération de sous-domaines et conformité : ce que disent NIS2 et ISO 27001

 

La gestion de la surface d'attaque externe n'est pas qu'une bonne pratique technique : elle est désormais encadrée par les référentiels de conformité que vos RSSI et DSI doivent respecter.

  • NIS2 (Directive européenne 2022/2555) : l'article 21 impose aux entités essentielles et importantes de mettre en place des mesures de gestion des risques de cybersécurité incluant l'identification des actifs exposés. Une surface d'attaque non cartographiée constitue un manquement à cette obligation.
  • ISO 27001:2022 : le contrôle A.8.8 (Gestion des vulnérabilités techniques) et A.5.9 (Inventaire des actifs informationnels) couvrent explicitement l'obligation d'inventorier et de surveiller l'ensemble des actifs exposés, y compris les sous-domaines.
  • RGPD : un sous-domaine de staging hébergeant des données personnelles réelles sans protection adéquate constitue une violation de l'article 25 (Privacy by Design) et expose l'organisation à des sanctions CNIL.

Intégrer une mission d'énumération de sous-domaines dans votre programme de sécurité annuel est un moyen concret de documenter votre démarche de gestion des risques face à un auditeur de conformité.

 

 

Erreurs fréquentes dans la gestion de la surface d'attaque DNS

 

  • Ne pas supprimer les enregistrements DNS quand on retire un service : vecteur direct de subdomain takeover via des enregistrements CNAME dangling.
  • Croire que la CMDB couvre tous les actifs : les sous-domaines créés par les équipes dev, cloud ou marketing en dehors du processus IT en sont systématiquement absents.
  • Environnements de recette accessibles publiquement avec des données de production et des credentials de service.
  • Aucun monitoring des nouveaux sous-domaines : vous êtes aveugle aux changements de surface d'attaque entre deux audits.
  • Pas d'audit Certificate Transparency pour surveiller les certificats émis pour votre domaine, y compris ceux créés à votre insu.
  • Ignorer les wildcard DNS (*.example.com résolu vers une IP) qui masquent des faux positifs lors des scans mais peuvent pointer vers des services vulnérables.
  • Ne pas auditer les sous-domaines de third parties hébergés pour vous (partenaires SaaS, agences digitales) qui utilisent votre domaine via CNAME.

 

Étude de cas : Groupe de services financiers

 

Mission : cartographie de la surface d'attaque externe avant un audit de conformité NIS2. Périmètre : 3 domaines racines, groupe de 2 400 collaborateurs.

Résultats de l'énumération de sous-domaines :

  • 847 sous-domaines identifiés : l'équipe sécurité en connaissait 120
  • 12 sous-domaines avec des enregistrements CNAME dangling : vulnérables au subdomain takeover via GitHub Pages et Heroku
  • 3 environnements de staging avec des données clients réelles accessibles sans authentification
  • 1 serveur Jenkins exposé avec des credentials de production dans les configurations de job
  • 4 applications web avec des versions vulnérables identifiées par Nuclei (dont une CVE critique)
  • 2 API versionnées (v1) sans contrôle d'accès, toujours résolues malgré la migration vers la v2

Plan de remédiation sur 30 jours : suppression des enregistrements DNS obsolètes, restriction d'accès aux environnements de recette, rotation des credentials Jenkins, mise en place d'un monitoring continu des CT Logs. Surface d'attaque réduite de 85%.

 

 

Monitoring continu de la surface d'attaque DNS : au-delà du pentest ponctuel

 

L'énumération de sous-domaines ne doit pas être un exercice annuel. La surface d'attaque d'une organisation évolue en permanence : nouvelles applications déployées, services cloud provisionnés par les équipes métier, intégrations SaaS, campagnes marketing avec sous-domaines dédiés. Un sous-domaine vulnérable peut apparaître entre deux audits.

Les approches de monitoring continu de la surface d'attaque (Continuous Attack Surface Management, CASM) consistent à :

  • Surveiller les Certificate Transparency Logs en temps réel pour détecter tout nouveau certificat émis pour votre domaine
  • Alerter sur tout nouveau sous-domaine résolvable découvert par les sources passives
  • Vérifier périodiquement les enregistrements CNAME pour détecter des dangling records
  • Intégrer la surface d'attaque découverte dans votre CMDB ou votre plateforme de vulnerability management

PIIRATES peut accompagner vos équipes sur la mise en place de ce monitoring, en complément des audits de pentest ponctuel.

 

Ce que vous ne savez pas vous attaquera

La gestion de la surface d'attaque DNS est un processus continu, pas un projet ponctuel. Sans inventaire exhaustif et monitoring régulier, vous avez toujours des angles morts : et un attaquant patient les trouvera avant vous. L'énumération de sous-domaines est la première étape de toute reconnaissance offensive : mieux vaut la conduire vous-même, dans un cadre maîtrisé, avant qu'un tiers ne le fasse à votre place.

PIIRATES intègre l'énumération de sous-domaines dans tous ses audits de sécurité externe et propose des missions dédiées à la cartographie de surface d'attaque pour les RSSI, DSI et équipes sécurité qui souhaitent une vue complète de leur exposition.

Demandez votre cartographie de surface d'attaque à PIIRATES. Découvrez vos actifs exposés →

Foire
Aux
Questions

L'énumération de sous-domaines est-elle légale ?
La recherche passive (CT Logs, OSINT, moteurs de recherche spécialisés comme Shodan ou Censys) est légale sur n'importe quel domaine. Les techniques actives (brute force DNS, zone transfer) doivent obligatoirement être réalisées avec l'autorisation écrite du propriétaire du domaine. PIIRATES travaille exclusivement dans un cadre légal avec une lettre de mission signée avant toute opération.

Qu'est-ce qu'un subdomain takeover et comment le prévenir ?
Un subdomain takeover (ou CNAME hijacking) se produit quand un sous-domaine pointe via un enregistrement CNAME vers un service externe (Heroku, GitHub Pages, AWS S3...) qui n'est plus actif et dont la ressource peut être réclamée par un tiers. L'attaquant recrée ce service et prend le contrôle du sous-domaine. La prévention est simple : supprimer systématiquement les enregistrements DNS quand on retire un service, et auditer régulièrement ses enregistrements CNAME dangling.

Combien de temps prend une énumération de sous-domaines complète ?
De quelques minutes pour une recherche passive basique sur un petit domaine, à plusieurs heures pour une énumération exhaustive d'un grand groupe avec plusieurs domaines racines. La phase de brute force DNS sur des wordlists larges (10M+ entrées) peut nécessiter une nuit complète selon les resolvers utilisés. La cartographie complète d'une surface d'attaque incluant le fingerprinting et l'analyse des vulnérabilités prend généralement 1 à 3 jours selon la taille de l'organisation.

Quels outils open source pour surveiller sa surface d'attaque DNS ?
Amass (OWASP) pour l'énumération complète combinant sources passives et actives, Subfinder pour la collecte passive multi-sources, dnsx et puredns pour la validation et résolution DNS, altdns pour les permutations, httpx pour le fingerprinting des services web, Nuclei pour la détection automatisée de vulnérabilités incluant le subdomain takeover. Pour le monitoring continu, des solutions comme Spiderfoot HX ou des pipelines custom sur ProjectDiscovery Notify permettent des alertes en temps réel sur les CT Logs.

Quelle est la différence entre reconnaissance passive et active ?
La reconnaissance passive collecte des informations sur la cible sans jamais interagir directement avec ses systèmes : elle exploite des sources publiques comme les CT Logs, les moteurs de recherche, les bases de données DNS historiques ou GitHub. Elle est indétectable et légale sans autorisation. La reconnaissance active envoie des requêtes directement vers les serveurs de la cible (résolutions DNS, brute force, zone transfer) et peut déclencher des alertes dans les systèmes de sécurité. Elle nécessite une autorisation préalable.

Comment savoir si mon domaine a été exposé dans les Certificate Transparency Logs ?
Rendez-vous sur crt.sh et saisissez %.votredomaine.fr dans le champ de recherche. Vous verrez l'ensemble des certificats SSL émis pour votre domaine et tous ses sous-domaines, avec les dates d'émission et les autorités de certification. C'est gratuit, public, et souvent révélateur : notamment pour identifier des sous-domaines créés par des équipes marketing ou des prestataires sans en informer la DSI.

L'énumération de sous-domaines fait-elle partie d'un pentest web standard ?
Oui, l'énumération de sous-domaines est une phase obligatoire de tout pentest externe ou audit de surface d'attaque sérieux. Elle précède le scan de vulnérabilités et permet de définir le périmètre réel à tester : qui est souvent bien plus large que le périmètre déclaré par le client. PIIRATES l'intègre systématiquement dans ses missions de pentest web, pentest d'infrastructure externe et missions Red Team.

Nos coordonnées

Toutes nos activités s'inscrivent dans un cadre légal

Envoyez nous un ping

Énumération de sous-domaines : méthodes passives et actives, outils (Amass, Subfinder, dnsx), risques de subdomain takeover et cartographie de surface d’attaque. Audit PIIRATES pour RSSI et DSI.

Nos articles liés

Vous êtes arrivé jusqu’ici ?
N’en restons pas là.

Vous souhaitez en savoir plus sur nos expertises, nos services et les motivations qui nous animent ?
Venez discuter avec nous et obtenez des réponses pertinentes !

Appelons-nous
Énumération de sous-domaines : pourquoi votre surface d’attaque est bien plus grande que vous ne le pensez
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l'utilisation des cookies.
Plus d'info