Vos concurrents vous cachent des choses. Enfin, j'crois ^^

Leur infrastructure secrète, leurs projets en cours, leurs lancements prévus... Et pourtant, une bonne partie de tout ça est en fait visible si on sait où regarder...

Comment ? Grâce aux logs Certificate Transparency, c'est-à-dire les registres publics où les autorités de certification reconnues par les navigateurs enregistrent les certificats SSL qu'elles émettent.

Du coup, quand une boîte prépare un nouveau service sur staging.secret-project.example.com, hop, le certificat SSL est enregistré dans les logs CT et devient visible pour qui sait chercher. Et c'est exactement à ça que sert CertRadar , un outil gratuit qui va fouiller ces logs pour vous.

Perso j'adore ce genre d'outil pour le pentest et la veille concurrentielle. Vous tapez un domaine et bam, vous récupérez une bonne partie des sous-domaines qui ont eu un certificat SSL. Y'a de quoi faire pleurer un admin sys qui pensait que son serveur de dev était bien planqué !

CertRadar propose plusieurs modules. Le Cert Log Search qui est le coeur du truc, fouille les logs CT pour trouver les certificats émis pour un domaine. Le TLS Scanner analyse la config TLS de n'importe quel serveur (versions supportées, ciphers, tout ça). Le Header Search inspecte les en-têtes HTTP. Y'a aussi un RDAP Lookup pour les infos whois, un Domain Health pour vérifier la santé globale d'un domaine, et même un Multi-Domain Report pour analyser plusieurs domaines d'un coup.

Maintenant, mettons que vous voulez cartographier l'infrastructure de votre concurrent. Vous entrez leur domaine principal dans le Cert Log Search, et vous récupérez une liste de leurs sous-domaines visibles dans les logs CT : api.example.com, staging.example.com, admin-panel.example.com, dev-v2.example.com... Certains noms sont parfois très parlants sur les projets en cours !

D'ailleurs, si vous cherchez d'autres méthodes pour trouver les sous-domaines d'un site , j'avais déjà parlé de SubFinder qui fait ça en ligne de commande.

La différence avec CertRadar c'est que tout se passe dans le navigateur, pas besoin d'installer quoi que ce soit. Vous allez sur le site, vous tapez votre requête, et vous avez vos résultats. Hyper fastoche.

Pour ceux qui font de la sécu, c'est clairement un outil qui a sa place dans votre arsenal. La partie Cert Log Search et RDAP c'est de la reconnaissance passive pure, vous ne touchez pas aux serveurs cibles. Par contre le TLS Scanner et le Header Search vont activement interroger les serveurs, donc à utiliser uniquement sur des domaines où vous avez l'autorisation. Vous pouvez découvrir des endpoints oubliés, des serveurs de staging exposés, des APIs non documentées... Bref, tout ce que les équipes IT auraient préféré garder discret.

Et comme les logs Certificate Transparency sont publics par design (c'est fait pour améliorer la transparence et détecter les certificats frauduleux), consulter ces données est parfaitement légal. James Bond peut aller se rhabiller, la vraie surveillance se fait en open source maintenant !

Si vous voulez jouer les espions légaux, c'est cadeau les copains. Comme d'hab que du bon ici ^^