BlackHat Briefings Europe 2005: Le Google Hacking dans tous ses états

Une des présentations qui a su retenir notre attention est celle de Johnny Long qui présentait tous les aspects et techniques du « Google Hacking ».

L'objectif est on ne peut plus clair : exploiter la puissance et l'étendue des connaissances du moteur de recherche vedette afin de découvrir des informations sensibles, voir confidentielles. Mots de passes, numéros de cartes bancaires, rapports de police, interface d'administration de matériels réseaux, tout y passe. La fine manipulation des opérateurs de recherche offerts par Google permet en quelques minutes d'extraire des résultats tout à fait surprenants.

Les fonctionnalités de « cache » de Google seraient d'ailleurs de plus en plus employées pour accéder au contenu de certains sites internet sans pour autant laisser une trace de son passage dans les fichiers de journalisation de celui-ci.

L'apparition d'outils (SiteDigger, Sensepost) exploitant l'API de Google, qui permet l'automatisation de certaines recherches, offre des résultats toujours plus précis. Ainsi, certains utilitaires permettent, par exemple, d'extraire, en quelques minutes seulement, des centaines d'emails récoltés sur les sites indexés par le moteur de recherche. Une véritable aubaine pour les spammer ...

Évidemment, toutes ces indiscrétions de Google ne sont que le résultats des « erreurs » commises par de nombreux webmasters et administrateurs réseaux peu informés sur les risques liés à l'exposition de certaines informations sur la toile. Un « index.html » oublié et c'est un répertoire entier qui est référencé ...

Mots clés : blackhat, 2005, google, hacking