Le Google dorking, ou Google hacking, permet de trouver des informations habituellement inaccessibles sur un site web. Une façon légale d'exploiter les capacités insoupçonnées du moteur de recherche.
Vous pensiez tout connaître de Google Chrome ? Détrompez-vous. Le célèbre moteur de recherche possède des fonctionnalités méconnues du grand public. Appelées « Google Dorks », celles-ci ouvrent la porte à un univers d'informations d'ordinaire invisibles.
Un must pour les curieux ou pour les experts en cybersécurité pour notamment prévenir les cyberattaques, mais aussi un outil redoutable entre de mauvaises mains. Car si le Google dorking est parfaitement légal, l'utilisation et l'exploitation faites des contenus ainsi récoltés, elles, peuvent carrément devenir une arme pour les hackers.
Qu'est-ce que le Google dorking, son origine et ses dorks les plus utilisés ?
Imaginez un objet de la vie courante que vous transformez avec de petits outils supplémentaires ou détournez de sa fonction initiale pour améliorer le quotidien. Eh bien, les Google Dorks, c'est un peu le même principe.
Le Google dorking consiste à employer des requêtes avancées pour dénicher des informations précises. Un simple ajout d'opérateurs (guillemets, etc.) suffit à transformer une recherche ordinaire. Son créateur ? Johnny Long, un expert en cybersécurité. En 2002, il invente cette méthode d'investigation, baptisée « dorking ». Objectif : exploiter les capacités de Google pour les tests d'intrusion.
Voici quelques opérateurs fréquemment utilisés : « site: » pour restreindre à un domaine ; « filetype: » pour cibler certains formats ; « intitle: » ou « inurl: » pour trouver des pages avec un terme spécifique. Combinés, ils forment les fameux Google Dorks. Certains permettent même d'accéder à des fichiers sensibles, des versions archivées ou des serveurs privés.
Les Google Dorks, une mine d'or pour trouver des failles de sécurité, mais aussi un outil délicat à manier
Le Google dorking est légal dans les faits, il exploite simplement les capacités d'un moteur de recherche. En revanche, l'utilisation des résultats peut rapidement devenir illégale. Un pirate mal intentionné pourrait accéder à des données personnelles, s'introduire sur un système privé, etc. D'où l'importance du RGPD pour protéger la vie privée en ligne.
Heureusement, les entreprises ont aussi un intérêt à recourir au Google dorking. Cette technique leur permet d'identifier les informations sensibles accessibles publiquement. C'est là un premier pas pour sécuriser leurs systèmes et réduire leur surface d'attaque. Les experts en cybersécurité peuvent repérer failles, mots de passe compromis ou fuites de données.
Le Google dorking reste donc un outil ambivalent. Utilisé à bon escient, il renforce la cybersécurité en dévoilant les points faibles. Mais entre de mauvaises mains, il représente un risque majeur pour la confidentialité des données. Et ce n'est pas Olivier Laurelli, alias Bluetouff, qui dira le contraire. Lui qui avait eu accès à des données issues du site de l'ANSES en n'utilisant rien d'autre que des Google Dorks a vu son pourvoi en cassation être rejeté. Parfois, certaines données sensibles ou qui ne devraient pas être publiques le deviennent, grâce ou à cause d'une simple erreur dans l'architecture d'un site.
Le RGPD impose des règles strictes sur la collecte et l'utilisation des données personnelles. Si vous utilisez les Google Dorks, évitez de chercher des informations sensibles ou privées, même publiques, pour ne pas enfreindre le règlement. L'usage doit rester éthique, pour des recherches légitimes et non malveillantes. Obtenir le consentement avant d'utiliser des données personnelles est primordial.
- Très bonnes performances
- Simple et agréable à utiliser
- Un navigateur bien sécurisé
Sources : Legifrance, Medium