Featured image of post Reconnaissance orientée Red Team
Red Team

Reconnaissance orientée Red Team

Quelles informations rechercher lors de la phase de reconnaissance d'une opération Red Team ?

Lors d’une opération Red Team, la reconnaissance est une étape déterminante. C’est durant cette phase que l’on dresse un portrait aussi complet que possible de la cible afin d’identifier les opportunités d’attaque, qu’elles soient techniques ou basées sur l’ingénierie sociale, dans l’objectif d’obtenir un accès initial.

Au-delà de la simple collecte d’informations, comprendre l’environnement et le fonctionnement de l’entreprise permet d’orienter efficacement les actions menées après la compromission, et de tracer les chemins les plus pertinents vers les « trophées » définis en amont.

Voici une liste des principaux types d’informations que je cherche habituellement à recueillir lors de cette phase de reconnaissance.

C’est parti ! 🚀

Locaux de l’entreprise

L’identification d’informations sur les locaux d’une organisation est nécessaire en amont d’une intrusion physique. Ces informations peuvent aussi être utilisées dans le cadre d’attaques par ingénierie sociale afin d’aider à la construction d’un prétexte solide.

La plupart des informations listées ci-dessous peuvent être récupérées directement via des recherches en sources ouvertes, mais certaines peuvent parfois demander une phase de reconnaissance physique :

  • Adresse(s)
  • Plans des locaux
  • Disposition des accès (entrée principale, porte fumeurs, entrée cuisines, entrepôts, etc.)
  • Présence/absence de personnel de sécurité
  • Localisation de l’accueil et agent d’accueil
  • Accueil régulier ou non de visiteurs / prestataires externes
  • Présence de caméras de surveillance
  • Localisation du local à poubelles
  • Identification de différentes zones (cantines / prestataires / industriel / entrepôts / administratif, etc.)
  • Systèmes de contrôle d’accès
  • Disposition de l’intérieur des bâtiments / bureaux (photos)
  • Accès parking
  • Présence de prises Ethernet / prises d’alimentation
  • Réseaux Wi-Fi

Situation géographique

Avoir quelques éléments de contexte sur l’emplacement géographique global (sans besoin d’approfondir) est utile lors de la construction de prétextes, pour réagir rapidement lors des interactions avec les employés, ou pour prévoir de potentiels points de blocage lors d’une intrusion physique. Les éléments principaux auxquels je prête attention sont :

  • Nom des entreprises voisines
  • Présence de travaux / événements proches
  • Possibilité de se garer (hors parking) / points d’observation
  • Restaurants / cafés

Informations techniques - périmètre externe

La reconnaissance technique est une part essentielle des opérations de reconnaissance. Elle va nous permettre de déterminer si l’exploitation d’une faille ou d’un service exposé est envisageable afin d’obtenir des informations ou un accès initial.

  • Domaines et sous-domaines
  • IP et ports exposés
  • Tenant Azure
  • Énumération de Blobs (AWS, Azure, etc.)
  • Accès VPN
  • Liste des technologies utilisées (logiciels, services, marques)
  • OS utilisé
  • Code exposé / Open Source (GitHub, GitLab, Bitbucket, etc.)
  • Suite bureautique (Office, Gmail, etc.)
  • Sites et services exposés (avec version)
  • Configuration mail
  • Caméras de surveillance accessibles depuis Internet
  • Serveurs accessibles depuis Internet et surface d’exposition excessive
  • Présence de systèmes de sécurité (WAF, firewall)

Si certaines des informations listées ci-dessus peuvent être obtenues de manière passive via des recherches en sources ouvertes, elles ne peuvent souvent être confirmées ou approfondies qu’avec des actions actives. Dans ce cas, je préfère ajouter les éléments intéressants ou à vérifier à une liste spécifique, sur laquelle je reviendrai à la fin des phases de reconnaissance passive si besoin.

Entreprise - contexte général

Recueillir des informations sur le contexte général de l’entreprise sert à se familiariser avec la cible afin de construire des prétextes et scénarios d’ingénierie sociale crédibles. Mais ce n’est pas la seule utilité : ces informations sont par exemple nécessaires pour établir des listes de bruteforce personnalisées, effectuer des recherches de vulnérabilités sur des logiciels utilisés en interne, etc.

  • Secteur d’activité
  • Historique
  • Liste de mots-clés
  • Syntaxe des emails
  • Organisation et lien avec d’autres filiales
  • Chiffre d’affaires
  • Événements à venir ou passés
  • Offres d’emploi
  • Réseaux sociaux et exposition médiatique
  • Atmosphère de travail (corporate, détendue, avis sur l’entreprise, etc.)

Fuites de données

Les fuites de données peuvent parfois représenter une route simple et toute tracée vers un accès initial, sans besoin de scénario compliqué. Cela vaut toujours le coup de relever des identifiants à tester sur des accès VPN (sait-on jamais). Plus généralement, les fuites de documents ou emails internes peuvent contenir une mine d’informations exploitables par la suite.

  • Emails
  • Documents
  • Signatures
  • Mots de passe
  • Contacts
  • Plans / photos

Partenaires et prestataires

Sans besoin d’approfondir à l’extrême, relever les noms de différents prestataires, et si possible des points de contact, permet d’élaborer des scénarios d’ingénierie sociale crédibles.

  • Informatique (web, imprimantes, logiciels utilisés, etc.)
  • Cuisines
  • Climatisation / chauffage
  • Ascenseurs
  • Ménage
  • Architecture et bâtiments
  • Comptabilité
  • Cabinets de conseil / services

Employés et contact

Élément nécessaire des attaques par phishing, vishing, smishing et autres, établir une liste de contacts internes est un incontournable de la phase de reconnaissance. Une recherche sur l’organigramme, les employés et la vie en entreprise aide notamment dans les scénarios d’ingénierie sociale. Attention cependant à ne pas sortir du cadre professionnel lors des recherches sur les réseaux sociaux et les employés.

  • Liste des employés (noms, prénoms, poste)
  • Liste des adresses e-mail des employés
  • Numéros de téléphone des employés
  • Numéro de téléphone de l’accueil
  • Adresses e-mail de listes de diffusion (RH, contact, recrutement, support, etc.)
  • Organigramme et identification des HVT
  • Port d’EPI
  • Tenue de travail / dress code
  • Moyenne d’âge des employés
  • Port du badge
  • Détail du badge
  • Niveau de langue utilisé en interne (tutoiement, vouvoiement, etc.)
  • Sites et services externes sur lesquels sont enregistrées les adresses e-mail professionnelles

La phase de reconnaissance constitue le socle sur lequel repose toute opération Red Team. Plus elle est riche et précise, plus les scénarios d’attaque gagnent en crédibilité et en efficacité. Qu’il s’agisse d’exploiter une faille technique, de préparer une intrusion physique ou de construire un prétexte d’ingénierie sociale, chaque information collectée peut faire la différence. C’est un travail minutieux, mais qui conditionne souvent le succès des étapes suivantes. La liste ci-dessus se veut générique, en fonction du contexte dans lequel vous évoluez, d’autres éléments et informations peuvent être intéressantes à creuser. En espérant que cela fournisse tout de même un bon point de départ pour vos investigations !

Always sunny

Sources & Ressources

Vous cherchez des ressources pour en savoir plus sur l’OSINT orienté Red Team ? Voici une petite sélection :

© 2025 Serket Cybersecurity
Généré avec Hugo