[Maltego | http://www.paterva.com/maltego/] est essentiellement un outil de datamining. Et en tant que tel il lui faut des données à explorer ! Bien que ses sources de prédilection soient les adresses IP, les serveurs DNS, les netblocks, les enregistrements Whois, voire tout simplement Google (des informations publiques, donc), c’est en modifiant légèrement la configuration du proxy Squid de l’entreprise que les auteurs de Maltego ont révélés une toute autre facette de leur outil, cette fois-ci appliqué au réseau local de l’entreprise.

Il a suffit pour cela de configurer Squid afin qu’il log les en-têtes MIME (et donc les cookies HTTP). Grâce à cette seule astuce, Roelof Temmingh et Chris Bohme sont alors en mesure de capturer les cookies de session Facebook et GMail de leurs utilisateurs et de se connecter immédiatement à leur place. « Nous pouvons faire notre affaire avant même que la page web de Facebook ou GMail soit renvoyée au navigateur de l’utilisateur », fanfaronne Roelof Temmingh.

Et leur affaire, ce n’est rien de moins que siphonner la totalité de la liste des amis Facebook de l’employé imprudent, ainsi que son carnet d’adresse GMail (et éventuellement ses emails en y consacrant un peu plus de temps). Toutes ces données sont alors soigneusement rangées dans une base de données SQL, aux côté des sites visités et des mots-clés recherchés sur Google. Maltego peut alors se mettre au travail.

Lors de la démonstration, l’outil s’est montré capable de cartographier les relations extra-professionnelles entre plusieurs collaborateurs, de suivre leurs échanges emails et d’explorer les fichiers échangés et les URL visitées. Progressivement, des connivences voient le jour et Maltego « dessine » ces relations de manière particulièrement claire. Et cela tombe bien, car pour cette démonstration la finalité de l’exercice était de découvrir l’origine d’une fuite au sein d’un projet confidentiel de l’entreprise.

En France, bien évidemment, la CNIL ne verrait pas d’un bon oeil une telle pratique. Mais la démonstration est suffisamment convaincante pour donner envie d’essayer l’outil dans le cadre d’une veille plus légitime. Maltego peut par exemple explorer Twitter et procéder à des corrélations par domaine (qui publie sur Twitter des noms de projets internes depuis une adresse de l’entreprise par exemple) ou aider à « profiler » un nouveau collaborateur sur le web et les réseaux sociaux.

Et bien entendu, les pentesters l’utilisent déjà depuis longtemps dans leur phase de reconnaissance des infrastructures !