Tribune : GoolagScan, ange ou démon ?

… et pour les administrateurs de sites Internet

Comme la plupart des outils permettant de tester la sécurité d’un système, celui-ci est à double tranchant. Il peut être utilisé par les administrateurs afin de valider que les sites, qu’ils administrent ou qu’ils possèdent, sont exempts de failles connues vis-à-vis de ce type de technique. Mais ils peuvent également être employés par des pirates pour rechercher des points d’entrée potentiels vers des ressources internes, par des spammeurs pour récupérer des adresses emails, par des concurrents qui voudraient récupérer des données confidentielles.

Et c’est là que la technique de Google Hacking se révèle intéressante pour un individu malveillant. En effet, lors de la recherche des vulnérabilités, et contrairement à un scanner classique qui va se connecter sur un équipement pour l’analyser, le fait de s’adresser au moteur de recherche de Google rend le scan indétectable pour le site visé, puisqu’à aucun moment l’attaquant n’est en relation avec celui-ci. Il est dès lors tout à fait possible de dresser un portrait, même très sommaire, de la sécurité d’un site sans même s’y être connecté.

Comment se protéger contre de telles techniques ?

Il est tout d’abord important d’être conscient du fait que les serveurs Web sont devenus les principales sources d’intrusions externes. Il convient dès lors de les traiter comme des points sensibles du réseau, avec les scripts et les informations qu’ils contiennent. Comme pour les autres équipements réseau, il convient de faire le point régulièrement sur leur sécurité en s’aidant de ce type d’outils pour une évaluation rapide ou en demandant un audit de sécurité plus complet à une société spécialisée.

De plus, il est nécessaire de traiter avec la plus grande prudence les informations et les fichiers qui seront publiés sur le site Web, on a trop souvent pu retrouver des fichiers de bases de données complètes ou des numéros de cartes bancaires accessibles à tous.

On pourra également utiliser, à bon escient, le fichier robots.txt qui, situé à la racine d’un site Web, permettra d’indiquer à tout robot d’indexation de page ce que l’on souhaite voir indexé pour être accessible via un moteur de recherche, et ce qu’on ne souhaite pas voir indexé. Attention, si Google respecte les recommandations mises en place par l’intermédiaire de ce fichier, il n’est en aucun cas garanti qu’un autre moteur de recherche, moins courtois, les respecte. Il ne faut donc par considérer ce fichier comme une garantie de non-indexation.

Il n’est pas impossible que Google réagisse à ce type d’outil. Il y a d’ores et déjà des requêtes considérées comme émanant d’un outil « indésirable » qui se retrouvent bloquées, ou des limitations qui demandent une action de l’utilisateur pour lancer la recherche. De fait, si l’on sélectionne un certain nombre de tests simultanés, GoolagScan précise que votre adresse IP peut être bloquée par Google. Un test complet d’un site donné peut donc se révéler fastidieux.

En dehors de ces remarques, on se rappellera que la publication de cet outil permettra chacun de tester une partie de ses sites et de se sensibiliser aux différentes menaces qu’implique la présence d’un serveur Web connecté sur Internet.