Tribune : GoolagScan, ange ou démon ?

Silicon.fr donne la parole à Fabien Spagnolo, Consultant Sécurité des Systèmes d’information chez Integralis. Selon lui, une nouvelle méthode de recherche de vulnérabilités soulève bien des questions…

Récemment, le monde de la sécurité informatique a été frappé d’apprendre qu’un célèbre groupe d’hackers, Cult of the Dead Cow (cDc), s’est attaqué à la sécurité des pages Web grâce à un outil particulièrement efficace nommé GoolagScan.

Cette application a pour particularité d’automatiser la vérification de la présence de vulnérabilités connues ou de fuites d’informations sensibles sur les sites Web. Il est donc à la fois vertueux et dangereux.

Fabien Spagnolo, revient donc sur cet outil dédié aux hackers, et essaye de répondre à cette question : GoolagScan est-il ange ou démon ?

GoolagScan part à la recherche des failles

Chaque jour, sur les listes dédiées à la publication de vulnérabilités, on retrouve des attaques spécifiques affectant des applications web. Leur fréquence a largement augmenté ces dernières années, et elles sont aujourd’hui prépondérantes en quantité si on compare leur nombre avec le nombre de vulnérabilités touchant les applicatifs dits classiques.

Ceci peut s’expliquer par le foisonnement de l’offre liée à une forte demande d’accès Web, que ce soit pour publier des données, offrir davantage de services à ses clients ou faciliter la mobilité de ses utilisateurs en ouvrant des accès à des ressources internes par la simple utilisation d’un navigateur Internet. En outre, le contrôle des données et applicatifs publiés sur les sites Web est parfois aléatoire. Les développeurs d’applicatifs Web ne sont pas toujours tenus au fait des bonnes pratiques en matière de sécurité. C’est ce qui explique qu’aujourd’hui les serveurs Web sont souvent considérés comme une porte d’entrée potentielle vers les réseaux internes. Une aubaine pour un pirate.

GoolagScan : un outil pour les hackers…

Le Google Hacking consiste à utiliser le moteur de recherche de Google pour recenser autant que possible les versions des applicatifs installés sur les sites Web, en recherchant des bannières particulières, des fichiers sensibles, des répertoires non sécurisés, l’accès à des portails connus, des messages d’erreur occasionnant une fuite d’information – comme une version de base de données -, etc. Google scanne en permanence Internet et indexe le contenu des pages web et l’architecture des sites qu’il visite.

Il suffit d’utiliser les mots-clés et la syntaxe appropriée pour rechercher dans le moteur de recherche de Google, par exemple, uniquement les fichiers d’un type donné ou une URL d’une version d’application réputée vulnérable.

Les pirates utilisent déjà ces techniques. Généralement, la publication d’une faille de sécurité exploitable à distance sur une application Web, par exemple l’outil de publication de blog très répandu WordPress, se voit suivie de recherches Google massives pour rechercher les sites qui hébergent la version vulnérable. Les pirates n’ont plus qu’à lancer les attaques pour exploiter la faille dans la liste renvoyée par le moteur de recherche.

Si cette technique n’est pas nouvelle, et si d’autres applications de sécurité utilisent déjà ces techniques de manière automatisée, GoolagScan présente l’avantage de proposer un outil gratuit, dédié et simple à utiliser. Il suffit de lui indiquer le nom d’un site à analyser, de sélectionner la catégorie de failles connues dont on souhaite vérifier la présence, et de laisser l’outil interroger le moteur de recherche de Google, puis de renvoyer les résultats. On pourra choisir, par exemple, de rechercher uniquement les répertoires sensibles, les fichiers contenant des mots de passe, des pages contenants des informations réseau ou des données vulnérables, des interfaces d’administration d’équipements comme des imprimantes, des routeurs, des webcams, etc