Google hacking, c’est quoi d’après vous ?
Si vous savez ce qu’est un hacker, vous en avez sûrement une petite idée !
Pour mieux appréhender ce terme, je vous invite à lire cet article…
Mais avant d’entrer dans les détails, voici sa définition d’un point de vue expert :
Le Google hacking, connu également sous le nom de “Google dorking”, est une technique pouvant être utilisée pour rechercher des données sensibles sur le Web, notamment via le moteur de recherche Google.
Hier après-midi, Laurent et moi avons discuté des modes d’emploi des hackers et de fil en aiguille, le sujet s’est axé sur le Google hacking…
Bonne lecture !
Ma définition du Google hacking
Le Google hacking, comme son nom l’indique, est une pratique qui consiste à utiliser Google pour rechercher des données sensibles.
Sachez en effet qu’il est tout à fait possible d’accéder à des données confidentielles telles que des mots de passe ou des documents sensibles sur le Web, notamment en utilisant des requêtes spécifiques.
Wikipédia souligne d’ailleurs que, dans la pratique, le Google hacking se fait en entrant des requêtes spéciales dans le moteur de recherche, qui possède de nombreux opérateurs de recherche souvent méconnus :
- site:abc.com,
- cache:abc.com,
- intitle:abc,
- inurl:abc…
Note : il existe même des outils pour utiliser les Google dorks, parmi lesquels Passive Google Dorks, DorkMe…
À quoi sert le Google dorking ?
Le Google dorking peut vous aider à affiner les résultats de votre requête.
C’est une excellente méthode pour effectuer des recherches avancées. Mais c’est aussi, pour certains, un moyen de rechercher des informations sensibles ou d’effectuer des requêtes offensives ou défensives.
Grâce au Google hacking, vous pouvez exploiter au maximum le potentiel des moteurs de recherche.
En outre, vous pouvez identifier les éventuelles vulnérabilités pouvant affecter votre site Internet, telles qu’un serveur mal configuré.
Note : plusieurs éléments peuvent être trouvés grâce aux Google dorks :
- Fichiers sensibles (mots de passe, liste d’utilisateurs…),
- Listes de prix (Pricelist),
- Équipements non protégés (imprimantes, caméras…)…
Comment se protéger du Google hacking ?
Comme il est très facile pour les hackers de trouver des informations sensibles sur le Web, il convient de se protéger au maximum.
Pour ce faire, mieux vaut ne pas mettre en ligne des informations sensibles. Si certaines de vos pages Web contiennent des informations sensibles, la meilleure solution est de ne pas les faire indexer par les bots de Google.
Vous pouvez entre autres utiliser la balise noindex ou tout simplement le fichier robots.txt.
La première sert à indiquer aux robots de ne pas indexer tel ou tel élément, tandis que la deuxième leur permet de crawler et d’indexer uniquement telle ou telle page.
Sachez qu’il est également possible d’empêcher une page de s’afficher dans la recherche Google en insérant un en-tête noindex dans la réponse HTTP.
Note : n’hésitez pas à tester régulièrement la vulnérabilité de votre site et de faire des vérifications à l’aide de Google Hacking Database GHDB.
