Politique d'Analyse (Scanning)

Le principe de non-intrusion (Loi Godfrain)

En France, l'accès frauduleux à un système de traitement automatisé de données est strictement sanctionné (Art. 323-1 du Code Pénal). Les outils Lanterne ont été spécifiquement conçus pour respecter ce cadre de manière stricte : nos algorithmes d'analyse sont 100% passifs.

• Aucune attaque active : aucun script compromettant (payload), tentative d'injection SQL ou attaque par force brute n'est déployé.
• Aucun franchissement de pare-feu : nous n'interagissons jamais aves les systèmes internes inaccessibles publiquement.
• Aucune exploitation (0-day) : nous identifions seulement les signatures de base mais ne testons pas l'exploitation de la vulnérabilité observée.

Comment fonctionne le moteur de scan OSINT ?

Lorsqu'un partenaire (expert-comptable ou courtier) génère un rapport, nos moteurs interrogent le domaine cible via la méthode de l'Intelligence en Sources Ouvertes (OSINT) :

1. Bases de données publiques (HaveIBeenPwned)

Nous consultons des archives publiques de fuites de données pour vérifier de potentielles fuites d'e-mails liés au nom de domaine.

2. Enregistrements DNS Publiques

Nous questionnons publiquement les annuaires DNS (DMARC, SPF) pour observer les paramétrages anti-phishing.

3. Certificats TLS & Moteurs de recherche spécialisés

Pour les services réseaux ouverts (RDP, bases de données exposées), Lanterne se réfère à des annuaires indexés massifs (Shodan, Censys) qui collectent déjà passivement les bannières TLS des adresses IP du monde entier.

Base Qualificative RGPD

L'analyse du domaine d'une personne morale entre en conformité avec le RGPD dans le cadre du motif de l'intérêt légitime commercial (Article 6.1.f) consistant à :

• Alerter la société sur son exposition externe en matière de cybersécurité.
• Aider les TPE/PME à évaluer leur cyber-assurance à l'heure de la conformité européenne de type NIS2.