Utilising WHOIS
📘 Introduction
WHOIS est un outil incontournable en cybersécurité, utilisé pour récupérer des informations sur les noms de domaine, les blocs d'adresses IP et les systèmes autonomes. Dans cette section, nous explorons son utilité pratique à travers plusieurs scénarios concrets.
🧪 Scénario 1 : Investigation de Phishing
Une passerelle email détecte un message suspect envoyé à plusieurs employés. L’email prétend venir de la banque de l’entreprise et redirige vers un lien frauduleux.
🔍 Un analyste exécute une commande WHOIS sur le domaine suspect :
whois fraudulent-bank-login.com✅ Indices révélateurs :
Date de création : très récente
Propriétaire : masqué derrière un service de confidentialité
Serveurs DNS : associés à un hébergeur "bulletproof"
🔐 Conclusion : Le domaine est probablement utilisé pour une attaque de phishing. L’équipe sécurité bloque immédiatement le domaine et alerte les utilisateurs.
🦠 Scénario 2 : Analyse de Malware
Un chercheur en sécurité analyse un malware récemment détecté sur le réseau interne. Il communique avec un serveur de commande et contrôle (C2).
📡 Le chercheur lance une requête WHOIS sur le domaine du serveur C2 :
whois c2-malicious.net✅ Informations récupérées :
Email : jetable ou anonyme
Adresse postale : dans un pays à forte activité cybercriminelle
Registrar : réputé pour sa tolérance aux abus
🌎 Conclusion : L’infrastructure malveillante semble hébergée sur un serveur non coopératif. Le chercheur en informe le fournisseur et enrichit les règles de détection.
📊 Scénario 3 : Rapport de Threat Intelligence
Une société de cybersécurité suit un groupe APT ciblant des institutions financières. L’équipe analyse les domaines utilisés par le groupe.
🔍 En corrélant les enregistrements WHOIS de plusieurs domaines :
📌 Patterns détectés :
Création de domaines groupée dans le temps
Utilisation de faux noms et alias récurrents
Serveurs DNS identiques entre campagnes
📓 Conclusion : L’équipe identifie des TTPs (tactiques, techniques, procédures) du groupe et fournit des IOCs exploitables dans un rapport de Threat Intel.
🛠️ Utilisation de la commande WHOIS
📥 Installation sur Linux
sudo apt update
sudo apt install whois -y🔍 Exemple : WHOIS sur facebook.com
whois facebook.com✨ Extrait de sortie :
Domain Name: FACEBOOK.COM
Registrar: RegistrarSafe, LLC
Creation Date: 1997-03-29
Registry Expiry Date: 2033-03-30
Registrant Organization: Meta Platforms, Inc.
Name Servers: A.NS.FACEBOOK.COM, B.NS.FACEBOOK.COM, ...
Domain Status: clientTransferProhibited, serverDeleteProhibited, ...🔍 Interprétation :
Domaine ancien et bien établi
Organisation connue : Meta Platforms, Inc.
Mesures de protection contre les transferts ou suppressions non autorisés
DNS gérés en interne par l’organisation
📌 À retenir
WHOIS est un outil simple mais puissant pour les pentesters et analystes.
Il permet d'identifier :
des propriétaires de domaine
des configurations DNS
des patterns d’attaquants via l’historique ou les serveurs utilisés
WHOIS seul n'est pas suffisant, mais il reste un excellent point de départ dans toute phase de reconnaissance.
Perform a WHOIS lookup against the paypal.com domain. What is the registrar Internet Assigned Numbers Authority (IANA) ID number ?
Utilisation de whois :
$ whois paypal.com
Domain Name: PAYPAL.COM
Registry Domain ID: 8017040_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.markmonitor.com
Registrar URL: http://www.markmonitor.com
Updated Date: 2025-06-13T12:17:58Z
Creation Date: 1999-07-15T05:32:11Z
Registry Expiry Date: 2026-07-15T05:32:11Z
Registrar: MarkMonitor Inc.
Registrar IANA ID: 292
[...]Le numéro IANA est le 292.
What is the admin email contact for the tesla.com domain (also in-scope for the Tesla bug bounty program)?
Utilisation de whois :
$ whois tesla.com
[...]
Registrant Email: admin@dnstinations.com
Tech Name: Domain Administrator
Tech Phone: +1.4155319335
Tech Email: admin@dnstinations.com
[...]Nous obtenons alors le mail admin attendu : admin@dnstinations.com.
Mis à jour