mercredi 13 décembre 2017

Accueil du site > Informatique > Internet > Comment échapper aux yeux de Google

Comment échapper aux yeux de Google

Anicet Mbida, 01 Informatique

mercredi 26 avril 2006, sélectionné par Spyworld

logo

Avant Google, trouver des informations sensibles sur le net était une affaire de spécialistes. Aujourd’hui, quelques clics suffisent. Alors, comment se protéger ?

Chaque jour, la même scène se répète : des visiteurs restent plantés au milieu du hall d’accueil, comme hypnotisés. Au lieu de se diriger vers les hôtesses, de se présenter et de récupérer un badge, ils demeurent ainsi figés plusieurs minutes, médusés par l’immense écran suspendu derrière la réception. Dessus, défilent très lentement, dans toutes les langues, les requêtes formulées sur Google en temps réel par les internautes du monde entier. Fascinant ! Nous sommes dans GooglePlex, l’immense siège social californien du célèbre moteur de recherche.

Si les visiteurs restent prostrés devant cet écran, c’est qu’il réveille le côté voyeur de chacun d’entre nous. Certaines des requêtes sont parfois sibyllines. Mais les résultats, toujours surprenants. Tapez, par exemple, « intitle:index.of paye.xls » , et vous accédez à des fiches de paie ; « inurl:indexframe.shtml Axis » affiche l’image en temps réel de centaines de caméras de vidéosurveillance ; quant à la requête « « téléphone * * * » « adresse * » « e-mail » intitle : " curriculum vitae " » , elle récupère toutes sortes de curriculum vitæ, d’adresses et de numéros de téléphone. La liste pourrait continuer indéfiniment. Car Google, de même que beaucoup de moteurs de recherche, accepte des requêtes par mots clés et reconnaît des opérateurs aussi avancés que ceux des bases de données. Ainsi, un filtre comme « site : » restreint la recherche à un nom de domaine précis. Un autre comme « filetype : » ne remonte qu’un type de fichiers particulier. Ne reste plus alors qu’à être créatif.

Vite, réinitialisez mon mot de passe !

Avec les moteurs de recherche, obtenir des informations confidentielles devient extrêmement simple. Plus besoin d’être un pirate chevronné. Il suffit de retenir une ou deux requêtes avancées. Les plus fainéants peuvent même en trouver des toutes faites sur le web. Il existe comme cela toute une série de sites, sur lesquels des petits malins s’échangent leurs trouvailles. Plusieurs livres expliquent aussi par le menu comment récupérer des trésors sur n’importe quel site web. On y apprend, entre autres, comment utiliser Google pour détecter la version des logiciels serveurs d’un site. Cela permet d’en connaître les vulnérabilités pour mieux déclencher une attaque. On y décrit également une méthode simple pour récupérer un mot de passe : il suffit de lancer une requête qui retrouve un nom d’utilisateur et le numéro de téléphone de la hotline. Le bagout fait le reste. « Bonsoir, je suis le responsable du département ventes. J’ai une présentation à faire dans cinq minutes, et je n’arrive pas à me connecter. Dépêchez-vous de réinitialiser mon mot de passe ou ça va barder ! » C’est bien plus rapide et plus efficace que de tenter une intrusion sur un serveur.

On ne compte plus les secrets ainsi révélés par de simples requêtes Google. Le mois dernier, c’est la liste secrète des prix et spécifications des nouveaux portables Dell qui a été rendue publique deux mois trop tôt grâce à Google. C’est encore le célèbre moteur de recherche qui a saboté la campagne d’effeuillage (teasing) destinée à révéler ce qu’était l’Origami de Microsoft. L’effet de surprise a tourné court quand des photos et même une vidéo du produit ont été retrouvées sur le site de son agence de communication, recopiées et diffusées un peu partout sur le web.

Des recherches sur les PC des collègues

Mais comment Google parvient-il à récupérer toutes ces informations ? Les moteurs de recherche utilisent des robots qui parcourent automatiquement les pages du web. De serveur en serveur, ils suivent les liens hypertextes et indexent tout sur leur passage. Du coup, un serveur FTP, un portail collaboratif, voire un disque local peuvent se retrouver dans la base de Google, pour peu qu’ils soient accessibles depuis le web. Mais il y a pire. Selon Johnny Long, auteur du livre Google Hacking , « en utilisant l’API Google, il est possible de scanner des ports CGI, et d’obtenir des informations sur les pare-feu et les détecteurs d’intrusions sans se faire repérer. On appelle cela le Google Scan » . Sachant cela, comment éviter que ses secrets soient indexés par Google et exposés aux yeux de tous ?

Par chance, les moteurs de recherche se sont fixé un code de bonne conduite. Avant d’indexer un site, ils valident toute une série d’autorisations par le biais d’un fichier Robots.txt, situé sur la racine du serveur web. A l’intérieur, chaque ligne « Disallow » précise les fichiers ou les répertoires à ne pas indexer. De même, les balises « Meta » indiquent les fichiers à ne pas conserver dans les archives (cache). Dell aurait donc pu facilement éviter ses déboires en ajoutant une simple ligne dans un fichier texte.

L’essentiel consiste à ne pas tout laisser sur le serveur web public. Les informations sensibles ont leur place dans des pages protégées par mot de passe ou derrière le pare-feu, sur des serveurs privés sécurisés, là où les robots ne pénètrent pas. Bien entendu, toutes ces actions doivent être chapeautées par une politique de sécurité, et avec des correctifs régulièrement appliqués. Si, en dépit de cela, des informations parvenaient à filtrer, il est toujours possible de contacter Google pour lui demander de retirer une page de l’index ou des archives. A noter que l’opération prend jusqu’à cinq jours...

On n’est toujours pas sécurisé pour autant. Car un autre Google vient désormais fouiner dans l’intranet, de l’autre côté du pare-feu. Il s’agit de Google Desktop, le moteur de recherche pour poste de travail, dont la nouvelle version effectue des recherches sur le réseau local et sur les machines des collègues. Le seul endroit inaccessible aux robots de Google... Une nouvelle brèche est ouverte, bien plus dangereuse celle-là.

a.mbida@01informatique.presse.fr

Pour en savoir plus

Les 5 points à surveiller

1 Empêcher de lister le contenu des répertoires n’ayant pas fonction de stockage de fichiers (FTP).

2 Bloquer l’indexation de certains répertoires et fichiers en renseignant Robots.txt.

3 Remplir les balises du fichier Robots.txt pour éviter la copie en archive (cache).

4 Protéger les pages privées par un mot de passe.

5 Demander à la société Google de supprimer de son index les pages sensibles.

Même les individus sont exposés

Les indiscrétions de Google ne touchent pas que les entreprises. De plus en plus d’individus possèdent un blog personnel, sont inscrits sur un site de rencontre ou vendent des produits aux enchères. Or les recruteurs ont pris l’habitude d’utiliser Google pour retrouver des données personnelles sur leurs candidats. Les résultats sont parfois surprenants, et les anecdotes foisonnent. Comme celle de ce directeur général dont on à découvert les moeurs peu avouables par une simple requête Google. Alors, méfiance.

Google en chiffres

10 milliards de pages web indexées.

380 millions d’utilisateurs uniques par mois.

400 millions de requêtes par jour.

42,3 % des recherches passent par Google.

Questions/Réponses

Cette problématique de l’espionnage via internet n’est-elle liée qu’à Google ?

Non, tous les moteurs de recherche sont concernés. Mais aujourd’hui Google s’avère le plus utilisé, et son index est le plus important (10 milliards de pages, assorties d’images, de messages, de fichiers et de vidéos). Les techniques décrites dans l’article restent d’ailleurs reproductibles sur d’autres moteurs.

S’agit-il de techniques nouvelles ?

Pas du tout. En fait, elles se révèlent aussi vieilles que les moteurs de recherche eux-mêmes. Cependant, deux paramètres ont nettement changé la donne : l’indexation massive réalisée par ces moteurs, ainsi que la présence d’internet à tous les échelons de la société. On a donc aujourd’hui bien plus de chances qu’il y a cinq ans de dénicher sur la Toile une information confidentielle.

Pourquoi a-t-on accès à des fichiers Word sur le web ?

En principe, un serveur web ne présente que des pages HTML, associées à des images. Mais, faute de moyens, un grand nombre de serveurs se voient également sollicités afin d’effectuer du partage de fichiers. Et si l’ensemble est mal configuré, les moteurs de recherche peuvent accéder aux fichiers.

Est-il possible d’accéder ainsi à des photocopieurs ou à des fax ?

Oui. La plupart des modèles connectés au réseau profitent d’une administration distante par le biais d’une page web. Si l’appareil est mal configuré ou accessible hors du pare-feu, les moteurs de recherche risquent d’indexer les pages d’administration. Lesquelles deviennent alors accessibles à tous.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :