Comment échapper aux yeux de Google

icon

5

pages

icon

Français

icon

Documents

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

icon

5

pages

icon

Français

icon

Documents

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

Comment échapper aux yeux de GoogleExtrait du Spyworld Actuhttp://www.spyworld-actu.com/spip.php?article1876Comment échapper aux yeuxde Google- Informatique - Internet - Date de mise en ligne : mercredi 26 avril 2006Spyworld Actuwww.spyworld-actu.com - Spyworld Actu Page 1/5Comment échapper aux yeux de GoogleAvant Google, trouver des informations sensibles sur le net était une affaire de spécialistes.Aujourd'hui, quelques clics suffisent. Alors, comment se protéger ?Chaque jour, la même scène se répète : des visiteurs restent plantés au milieu du hall d'accueil, comme hypnotisés.Au lieu de se diriger vers les hôtesses, de se présenter et de récupérer un badge, ils demeurent ainsi figés plusieursminutes, médusés par l'immense écran suspendu derrière la réception. Dessus, défilent très lentement, dans toutesles langues, les requêtes formulées sur Google en temps réel par les internautes du monde entier. Fascinant ! Noussommes dans GooglePlex, l'immense siège social californien du célèbre moteur de recherche.Si les visiteurs restent prostrés devant cet écran, c'est qu'il réveille le côté voyeur de chacun d'entre nous. Certainesdes requêtes sont parfois sibyllines. Mais les résultats, toujours surprenants. Tapez, par exemple, « intitle:index.ofpaye.xls » , et vous accédez à des fiches de paie ; « inurl:indexframe.shtml Axis » affiche l'image en temps réel decentaines de caméras de vidéosurveillance ; quant à la requête « « téléphone * * * » « adresse * » ...
Voir icon arrow

Publié par

Langue

Français

Comment échapper aux yeux de Google
Extrait du Spyworld Actu
http://www.spyworld-actu.com/spip.php?article1876
Comment échapper aux yeux
de Google
- Informatique -
Internet -
Date de mise en ligne : mercredi 26 avril 2006
Spyworld Actu
www.spyworld-actu.com - Spyworld Actu
Page 1/5
Comment échapper aux yeux de Google
Avant Google, trouver des informations sensibles sur le net était une affaire de spécialistes.
Aujourd'hui, quelques clics suffisent. Alors, comment se protéger ?
Chaque jour, la même scène se répète : des visiteurs restent plantés au milieu du hall d'accueil, comme hypnotisés.
Au lieu de se diriger vers les hôtesses, de se présenter et de récupérer un badge, ils demeurent ainsi figés plusieurs
minutes, médusés par l'immense écran suspendu derrière la réception. Dessus, défilent très lentement, dans toutes
les langues, les requêtes formulées sur Google en temps réel par les internautes du monde entier. Fascinant ! Nous
sommes dans GooglePlex, l'immense siège social californien du célèbre moteur de recherche.
Si les visiteurs restent prostrés devant cet écran, c'est qu'il réveille le côté voyeur de chacun d'entre nous. Certaines
des requêtes sont parfois sibyllines. Mais les résultats, toujours surprenants. Tapez, par exemple, « intitle:index.of
paye.xls » , et vous accédez à des fiches de paie ; « inurl:indexframe.shtml Axis » affiche l'image en temps réel de
centaines de caméras de vidéosurveillance ; quant à la requête « « téléphone * * * » « adresse * » « e-mail » intitle : "
curriculum vitae " » , elle récupère toutes sortes de curriculum vitae, d'adresses et de numéros de téléphone. La liste
pourrait continuer indéfiniment. Car Google, de même que beaucoup de moteurs de recherche, accepte des
requêtes par mots clés et reconnaît des opérateurs aussi avancés que ceux des bases de données. Ainsi, un filtre
comme « site : » restreint la recherche à un nom de domaine précis. Un autre comme « filetype : » ne remonte qu'un
type de fichiers particulier. Ne reste plus alors qu'à être créatif.
Vite, réinitialisez mon mot de passe !
Avec les moteurs de recherche, obtenir des informations confidentielles devient extrêmement simple. Plus besoin
d'être un pirate chevronné. Il suffit de retenir une ou deux requêtes avancées. Les plus fainéants peuvent même en
trouver des toutes faites sur le web. Il existe comme cela toute une série de sites, sur lesquels des petits malins
s'échangent leurs trouvailles. Plusieurs livres expliquent aussi par le menu comment récupérer des trésors sur
n'importe quel site web. On y apprend, entre autres, comment utiliser Google pour détecter la version des logiciels
serveurs d'un site. Cela permet d'en connaître les vulnérabilités pour mieux déclencher une attaque. On y décrit
également une méthode simple pour récupérer un mot de passe : il suffit de lancer une requête qui retrouve un nom
d'utilisateur et le numéro de téléphone de la hotline. Le bagout fait le reste. « Bonsoir, je suis le responsable du
département ventes. J'ai une présentation à faire dans cinq minutes, et je n'arrive pas à me connecter.
Dépêchez-vous de réinitialiser mon mot de passe ou ça va barder ! » C'est bien plus rapide et plus efficace que de
tenter une intrusion sur un serveur.
On ne compte plus les secrets ainsi révélés par de simples requêtes Google. Le mois dernier, c'est la liste secrète
des prix et spécifications des nouveaux portables Dell qui a été rendue publique deux mois trop tôt grâce à Google.
C'est encore le célèbre moteur de recherche qui a saboté la campagne d'effeuillage (teasing) destinée à révéler ce
qu'était l'Origami de Microsoft. L'effet de surprise a tourné court quand des photos et même une vidéo du produit ont
été retrouvées sur le site de son agence de communication, recopiées et diffusées un peu partout sur le web.
Des recherches sur les PC des collègues
Mais comment Google parvient-il à récupérer toutes ces informations ? Les moteurs de recherche utilisent des
robots qui parcourent automatiquement les pages du web. De serveur en serveur, ils suivent les liens hypertextes et
indexent tout sur leur passage. Du coup, un serveur FTP, un portail collaboratif, voire un disque local peuvent se
retrouver dans la base de Google, pour peu qu'ils soient accessibles depuis le web. Mais il y a pire. Selon Johnny
www.spyworld-actu.com - Spyworld Actu
Page 2/5
Comment échapper aux yeux de Google
Long, auteur du livre Google Hacking , « en utilisant l'API Google, il est possible de scanner des ports CGI, et
d'obtenir des informations sur les pare-feu et les détecteurs d'intrusions sans se faire repérer. On appelle cela le
Google Scan » . Sachant cela, comment éviter que ses secrets soient indexés par Google et exposés aux yeux de
tous ?
Par chance, les moteurs de recherche se sont fixé un code de bonne conduite. Avant d'indexer un site, ils valident
toute une série d'autorisations par le biais d'un fichier Robots.txt, situé sur la racine du serveur web. A l'intérieur,
chaque ligne « Disallow » précise les fichiers ou les répertoires à ne pas indexer. De même, les balises « Meta »
indiquent les fichiers à ne pas conserver dans les archives (cache). Dell aurait donc pu facilement éviter ses déboires
en ajoutant une simple ligne dans un fichier texte.
L'essentiel consiste à ne pas tout laisser sur le serveur web public. Les informations sensibles ont leur place dans
des pages protégées par mot de passe ou derrière le pare-feu, sur des serveurs privés sécurisés, là où les robots ne
pénètrent pas. Bien entendu, toutes ces actions doivent être chapeautées par une politique de sécurité, et avec des
correctifs régulièrement appliqués. Si, en dépit de cela, des informations parvenaient à filtrer, il est toujours possible
de contacter Google pour lui demander de retirer une page de l'index ou des archives. A noter que l'opération prend
jusqu'à cinq jours...
On n'est toujours pas sécurisé pour autant. Car un autre Google vient désormais fouiner dans l'intranet, de l'autre
côté du pare-feu. Il s'agit de Google Desktop, le moteur de recherche pour poste de travail, dont la nouvelle version
effectue des recherches sur le réseau local et sur les machines des collègues. Le seul endroit inaccessible aux
robots de Google... Une nouvelle brèche est ouverte, bien plus dangereuse celle-là.
a.mbida@01informatique.presse.fr
Pour en savoir plus
Les 5 points à surveiller
1 Empêcher de lister le contenu des répertoires n'ayant pas fonction de stockage de fichiers (FTP).
2 Bloquer l'indexation de certains répertoires et fichiers en renseignant Robots.txt.
3 Remplir les balises du fichier Robots.txt pour éviter la copie en archive (cache).
4 Protéger les pages privées par un mot de passe.
5 Demander à la société Google de supprimer de son index les pages sensibles.
Même les individus sont exposés
Les indiscrétions de Google ne touchent pas que les entreprises. De plus en plus d'individus possèdent un blog
personnel, sont inscrits sur un site de rencontre ou vendent des produits aux enchères. Or les recruteurs ont pris
www.spyworld-actu.com - Spyworld Actu
Page 3/5
Comment échapper aux yeux de Google
l'habitude d'utiliser Google pour retrouver des données personnelles sur leurs candidats. Les résultats sont parfois
surprenants, et les anecdotes foisonnent. Comme celle de ce directeur général dont on à découvert les moeurs peu
avouables par une simple requête Google. Alors, méfiance.
Google en chiffres
10 milliards de pages web indexées.
380 millions d'utilisateurs uniques par mois.
400 millions de requêtes par jour.
42,3 % des recherches passent par Google.
Questions/Réponses
Cette problématique de l'espionnage via internet n'est-elle liée qu'à Google ?
Non, tous les moteurs de recherche sont concernés. Mais aujourd'hui Google s'avère le plus utilisé, et son index est
le plus important (10 milliards de pages, assorties d'images, de messages, de fichiers et de vidéos). Les techniques
décrites dans l'article restent d'ailleurs reproductibles sur d'autres moteurs.
S'agit-il de techniques nouvelles ?
Pas du tout. En fait, elles se révèlent aussi vieilles que les moteurs de recherche eux-mêmes. Cependant, deux
paramètres ont nettement changé la donne : l'indexation massive réalisée par ces moteurs, ainsi que la présence
d'internet à tous les échelons de la société. On a donc aujourd'hui bien plus de chances qu'il y a cinq ans de
dénicher sur la Toile une information confidentielle.
Pourquoi a-t-on accès à des fichiers Word sur le web ?
En principe, un serveur web ne présente que des pages HTML, associées à des images. Mais, faute de moyens, un
grand nombre de serveurs se voient également sollicités afin d'effectuer du partage de fichiers. Et si l'ensemble est
mal configuré, les moteurs de recherche peuvent accéder aux fichiers.
Est-il possible d'accéder ainsi à des photocopieurs ou à des fax ?
Oui. La plupart des modèles connectés au réseau profitent d'une administration distante par le biais d'une page web.
Si l'appareil est mal configuré ou accessible hors du pare-feu, les moteurs de recherche risquent d'indexer les pages
d'administration. Lesquelles deviennent alors accessibles à tous.
www.spyworld-actu.com - Spyworld Actu
Page 4/5
Comment échapper aux yeux de Google
Post-scriptum :
http://www.01net.com/article/313403.html
www.spyworld-actu.com - Spyworld Actu
Page 5/5
Voir icon more
Alternate Text