Qu'est-ce qu'un outil de recherche de sous-domaines ?
Un outil de recherche de sous-domaines (subdomain finder) découvre tous les sous-domaines associés à un domaine racine. Il utilise des techniques comme le scan des logs Certificate Transparency, l'énumération DNS, les attaques par dictionnaire et les requêtes sur les jeux de données publics pour révéler des sous-domaines tels que mail.exemple.com, api.exemple.com ou staging.exemple.com qui ne sont pas forcément listés publiquement.
Notre outil interroge les bases de données CT de crt.sh et Certspotter, puis résout chaque sous-domaine découvert pour afficher l'adresse IP, l'hébergeur, le numéro ASN, le pays et le statut actif/inactif. Les résultats sont affichés en streaming temps réel au fur et à mesure de la découverte. Combinez avec la recherche DNS pour analyser les enregistrements DNS complets de chaque sous-domaine.
Comment fonctionne la découverte de sous-domaines
La découverte de sous-domaines repose sur plusieurs techniques complémentaires. Chaque méthode a ses forces et ses limites — les combiner maximise la couverture de l'énumération.
Les logs CT sont des registres publics de tous les certificats SSL/TLS émis par les autorités de certification. Quand un certificat est émis pour api.exemple.com, ce sous-domaine est enregistré dans les logs CT. Des services comme crt.sh et Certspotter indexent ces logs, en faisant la source passive la plus fiable pour la découverte de sous-domaines.
Cette technique teste systématiquement des noms de sous-domaines courants (www, mail, api, dev, staging, ftp, vpn) contre les résolveurs DNS. Un dictionnaire de milliers de noms est utilisé pour identifier les sous-domaines existants par leurs réponses DNS valides.
Le transfert de zone DNS demande le fichier de zone complet à un serveur de noms autoritaire. Rarement autorisé sur les serveurs correctement configurés, il révèle l'intégralité des enregistrements DNS lorsqu'il est accessible — c'est la technique la plus complète mais la moins souvent utilisable.
Les moteurs de recherche, la Wayback Machine et les bases de données de sécurité comme VirusTotal et Shodan indexent les sous-domaines au fil du temps. Ces sources passives permettent de découvrir des sous-domaines historiques qui ne sont plus actifs mais peuvent encore présenter des risques de sécurité.
Pourquoi rechercher les sous-domaines d'un domaine ?
La recherche de sous-domaines est une étape essentielle pour la sécurité informatique, l'audit réseau et l'analyse concurrentielle. Voici les principaux cas d'utilisation de l'énumération de sous-domaines.
Cartographie de la surface d'attaque — Identifiez tous les points d'entrée potentiels de votre infrastructure. Chaque sous-domaine est un vecteur d'attaque possible, surtout les sous-domaines oubliés ou mal configurés.
Prévention du subdomain takeover — Détectez les sous-domaines pointant vers des services désactivés (GitHub Pages, Heroku, AWS S3). Un attaquant peut réclamer le service abandonné et servir du contenu malveillant sur votre sous-domaine.
Audit et inventaire DNS — Maintenez un inventaire complet de tous vos sous-domaines actifs. Les grandes organisations accumulent des centaines de sous-domaines au fil du temps, dont beaucoup sont oubliés ou non documentés.
Cartographie d'infrastructure — Comprenez l'architecture technique d'une organisation en identifiant ses serveurs, applications et services à travers les sous-domaines (api, staging, dev, mail, vpn, etc.).
Veille concurrentielle — Analysez les sous-domaines de vos concurrents pour comprendre leur infrastructure technique, identifier les technologies utilisées et découvrir de nouveaux produits ou services en développement.
Conformité et documentation — Assurez-vous que tous les actifs numériques sont documentés et surveillés pour répondre aux exigences réglementaires (RGPD, ISO 27001, PCI DSS).
Qu'est-ce que le subdomain takeover ?
Le subdomain takeover (prise de contrôle de sous-domaine) se produit lorsqu'un sous-domaine (par exemple blog.exemple.com) possède un enregistrement CNAME pointant vers un service externe (GitHub Pages, Heroku, AWS S3, Azure) qui a été désactivé, mais l'enregistrement DNS existe toujours. Un attaquant peut réclamer le point de terminaison abandonné et servir du contenu malveillant — phishing, vol de cookies ou distribution de malware — sur votre sous-domaine légitime.
Cette vulnérabilité est particulièrement dangereuse car le contenu malveillant est servi sous votre domaine principal, ce qui le rend crédible pour les visiteurs et les systèmes de sécurité. La prévention passe par un audit régulier des sous-domaines avec un outil comme notre recherche de sous-domaines, la suppression immédiate des enregistrements DNS obsolètes et la surveillance continue des logs Certificate Transparency. Vérifiez les enregistrements CNAME avec la recherche CNAME pour identifier les enregistrements pointant vers des services tiers.
Bonnes pratiques de sécurité des sous-domaines
La sécurité des sous-domaines est un aspect souvent négligé de la cybersécurité. Suivez ces bonnes pratiques pour protéger votre infrastructure contre les vulnérabilités liées aux sous-domaines.
Audits réguliers des sous-domaines — Exécutez une recherche de sous-domaines au moins une fois par mois pour détecter les sous-domaines non autorisés, oubliés ou créés par le shadow IT. Automatisez ce processus avec des scripts ou des outils de surveillance.
Supprimez les enregistrements DNS orphelins — Quand vous désactivez un service externe (GitHub Pages, Heroku, Azure), supprimez immédiatement l'enregistrement DNS correspondant. Les enregistrements CNAME pointant vers des services inactifs sont la cause principale du subdomain takeover.
Utilisez les certificats wildcard avec prudence — Les certificats wildcard (*.exemple.com) couvrent tous les sous-domaines mais masquent les sous-domaines individuels dans les logs CT. Cela réduit la visibilité de l'audit mais peut simplifier la gestion des certificats.
Restreignez les transferts de zone — Configurez vos serveurs DNS pour refuser les requêtes AXFR non autorisées. Les transferts de zone ouverts exposent l'intégralité de votre configuration DNS à n'importe quel attaquant.
Surveillez les logs Certificate Transparency — Configurez des alertes pour être notifié dès qu'un nouveau certificat est émis pour votre domaine. Cela permet de détecter rapidement les sous-domaines non autorisés ou les certificats frauduleux.
Minimisez l'exposition des sous-domaines — N'exposez pas les sous-domaines internes (staging, dev, admin) sur l'internet public. Utilisez des VPN, des pare-feu ou des listes d'accès pour restreindre l'accès aux sous-domaines sensibles.
Outils associés
Complétez votre analyse de sous-domaines avec ces outils DNS Robot pour une vue d'ensemble complète de la configuration et de la sécurité du domaine.
Consultez tous les enregistrements DNS (A, MX, NS, TXT, CNAME) d'un domaine depuis plus de 23 serveurs mondiaux
Résolvez une adresse IP en nom de domaine pour vérifier les enregistrements PTR et la configuration DNS inverse
Vérifiez la configuration DNS complète d'un domaine incluant les enregistrements SPF, DMARC, DKIM et la sécurité des emails
Recherchez les informations d'enregistrement d'un domaine : registraire, dates, serveurs de noms et statut DNSSEC via RDAP