Source : DeceptIQ — Article « Product Insights » signé Rad Kawar (14 décembre 2025). Le billet explique comment des « S3 honey buckets » permettent de rendre visible l’OSINT non authentifié contre AWS, offrant une détection très précoce dans la kill chain.

Le texte décrit les pratiques d’énumération cloud côté adversaire et Red Team : sur Azure, des outils comme AADInternals et onedrive_user_enum; sur AWS, GrayHatWarfare et surtout cloud_enum qui teste des noms de buckets prévisibles (ex. « deceptiq-dev », « deceptiq-backup »). Pour AWS Apps (SSO), l’énumération DNS est indétectable, mais pour S3 c’est différent car la vérification passe par des requêtes HTTP vers les FQDN des buckets.

L’article souligne que S3 n’est pas énumérable via DNS, forçant les attaquants à effectuer des requêtes HTTP détectables. AWS applique un rate limiting et sert de fausses réponses ; un correctif dans cloud_enum contourne cela en ajoutant un chemin d’objet à l’URL. Cette caractéristique rend possible l’instrumentation côté défense pour repérer ces sondes.

DeceptIQ propose des « S3 honey buckets » configurés pour imiter les conventions de nommage d’une organisation (ex. « deceptiq2025 »). Lorsqu’un outil d’OSINT les touche, une alerte est générée en quelques secondes avec des détails comme IP source, User-Agent, événement S3 (ListObjects), et le type d’identité (« anonymous »). Un exemple montre la détection d’un « Protected S3 Bucket » via cloud_enum, l’alerte associée et la faible nuisance observée en pratique. Déployer deux buckets correspondant au schéma de nommage augmente la confiance en cas d’accès séquentiels.

Le message clé est la détection la plus en amont de la kill chain 🔎 : avant tout accès initial ou vol d’identifiants, l’OSINT non authentifié devient visible. DeceptIQ met en avant son édition « starter » offrant 2 buckets gratuits pour tester cette approche, repositionnée comme une capacité d’early warning et de déception plutôt qu’un simple tableau de bord.

IOCs extraits:

  • IP source : 185.195.232.135 (infrastructure VPN/hosting)
  • User-Agent : python-requests/2.32.5
  • Hôte/Service : s3.amazonaws.com
  • URL de bucket (exemple) : http://deceptiq2025.s3.amazonaws.com/

TTPs observées/décrites:

  • Énumération non authentifiée de S3 via requêtes HTTP vers les FQDN de buckets
  • Utilisation d’outils d’OSINT : cloud_enum, GrayHatWarfare (AWS), AADInternals, onedrive_user_enum (Azure)
  • Contournement du rate limiting AWS S3 en ajoutant un chemin d’objet à l’URL
  • Fingerprinting par User-Agent (« python-requests ») et infrastructure VPN/hosting
  • Détection via honey tokens S3 imitant les schémas de nommage internes

Type d’article : présentation produit et démonstration d’usage visant la détection précoce de l’OSINT non authentifié.

🔗 Source originale : https://deceptiq.com/blog/detecting-unauth-aws-osint