10
Août
8

Google est ton ami… ou pas !

J’évoquais il y a peu la difficulté d’avoir un avis sur la réelle sécurité d’un service de stockage de données en ligne estampillé “sécurisé”.

Dans les commentaires de ce billet, @paulpkk rappelait que bien peu de personnes se souciaient réellement de savoir si leurs données étaient en lieu sûr.

La réalité est bien souvent encore pire, certains laissant carrément traîner toute leur vie sur Internet, si si je vous montre !

Où pouvons nous trouver toutes ces données ? Sur des sites gérés par les mafias du net ? Sur Pastebin ? Non tout simplement sur Google…

Google c’est 90% des recherches sur Internet, et il a tendance à mettre son nez partout si on ne l’en empêche pas, c’est son boulot. On ne va pas lui reprocher de bien le faire ! Et pour le plus grand bonheur des fouineurs, Google est doté de différents mots clés permettant d’effectuer des recherches particulièrement précises pour peu que l’on sache s’en servir.

Je ne détaillerai pas les possibilités de ces fonctionnalités, il existe de très bons ouvrages sur le sujet, à commencer par “Google Hacking for Penetration Testers“.

Pour le sujet qui nous intéresse, seuls deux mots clés seront utilisés: “intitle” et “inurl”.

Le premier permet d’effectuer une recherche dans le titre d’une page (le contenu des balises HTML <title></title>) et second, vous l’avez surement compris, permet de filtrer via le contenu des URL.

Aidés de ces mots clés, mettons nous en quête de “Directory Listing” contenant des données sensibles. Pour continuer ils nous faut donc trouver une manière significative de les identifier.

Il apparait clairement que le pattern le plus approprié reste le titre de la page: “Index of NomDuDossier”.

Pour être sûr de trouver les données de Mme Michu, ciblons des espaces de stockage en ligne précis: les pages perso de Free. 1 go de stockage en ligne gratuit, il y a fort à parier qu’on y trouvera quelques perles.

Ce genre de stockage n’est à la base proposé par Free que pour y héberger un site web, le débit est assez faible mais ça a le mérite d’être gratuit. Cependant, l’espace de stockage ayant bien augmenté ces dernières années, les utilisateurs se sont mis à les utiliser comme des espaces de sauvegarde, oubliant que de base, aucun mécanisme ne protège l’accès à leurs données.

Voilà, nous sommes prêts, enfin presque, pour trouver les dossiers les plus interessants, mettons nous dans la tête de Mme Michu: dans quels répertoires peut-elle bien stocker les données “sensibles” ?

Voici mon top 5:

  • le classique “Mes Documents”
  • le sympathique dossier “banque”
  • l’amusant dossier “perso”
  • l’effrayant dossier “travail”
  • et le joli dossier “secret”

Et les recherches Google associées:

  • inurl:free.fr intitle:”Index of Mes Documents”
  • inurl:free.fr intitle:”Index of banque”
  • inurl:free.fr intitle:”Index of perso”

Et si l’on veut étendre la recherche aux fichiers:

  • inurl:free.fr intitle:”Index of” banque

Voici donc un petit florilège des perles trouvées sur Internet:

    Des photos perso, voir très très perso:

    Des données bancaires, parfois TRES sympathiques:

    Des pièces d’identité:

    Des boites mails complètes:

    Des justificatifs d’adresses:

    Et bien d’autres choses: mots de passe, documents de travail, scans de cartes bleues (oui oui)…

Le kit parfait de l’usurpateur d’identité… Je vous laisse imaginer ce qu’il est possible de faire avec tout ça !

Ni Google ni Free ni Internet en général ne sont à blamer ici évidemment, les victimes sont également les coupables, la faute à une méconnaissance du monde numérique et à un manque de questionnement ou de curiosité…

Que pouvons nous faire pour éviter ce genre de chose ?

Coté technique, il est évident qu’utiliser ce genre d’espace pour de la sauvegarde de fichiers aussi sensibles n’est pas une idée lumineuse, mais on peut limiter la casse en chiffrant les données à sauvegarder, et en limitant la visibilité des moteurs de recherche (avec un .htaccess et un robots.txt).

Toutefois pour éviter d’en arriver à de telles extrémités, je pense que des cours de “bon sens numérique” dans l’enseignement scolaire seraient tout à fait appropriés et ce dès le collège au minimum.

Enfin, quand je tombe sur ce genre de données je fais tout mon possible pour en contacter les propriétaires, histoire d’effectuer un minimum de sensibilisation… je vous invite à en faire de même !

Heat Miser

P.S.: Pour les curieux, n’hésitez pas à enlever “inurl:free.fr” et à traduire les noms de répertoire dans différentes langues, vous verrez que le problème n’est pas franco Français.

P.S. 2 : Il est d’ailleurs intéressant de constater que des petits malins du monde du SEO attirent les curieux en simulant un Directory Listing “interessant” sur leurs sites web (pas de lien je ne veux pas faire de pub à ces gens là), preuve de la présence grandissante de curieux malveillants ou non.

8 Commentaires:
  1. Eddy 11 Août, 2011

    Sympa, il est d’ailleurs bon de combiner toutes les balises googles : site:, filetype …
    Une recherche site:free.fr filetype:pdf inurl:confidentiel,
    peu retourner des bonnes informations.

  2. truffe 4 Oct, 2011

    j’ai trouvé pas mal de RIB de la caisse d’épargne, mais jamais comme celui présenté sur le billet.
    Joli rappel du google hacking, tu comptes les rajouter au google dorks?

  3. Heat Miser 4 Oct, 2011

    Concernant le rib, la personne concernée a été prévenue et a effacé ses données.
    Pour le reste je me contenterai de cet article, toutefois le contenu du blog est en creative commons 3.0 🙂

  4. truffe 6 Oct, 2011

    je ne parlais pas de ce rib précis mais de ce type de rib, les six dernières lignes ne sont pas sur le document originale 🙂 (du moins je n’en ai jamais vu).

  5. Heat Miser 6 Oct, 2011

    Ah je viens de comprendre. En fait les 6 lignes en dessous sont sorties d’un autre fichier. Fichier dans lequel la personne concernée stockait ses identifiants d’accès. Ils ne sont pas intégrés dans le Rib effectivement !

  6. truffe 6 Oct, 2011

    obtiens tu des réponses facilement? j’ai envoyé un mail pour une personne aillant laissé l’intégralité de son dossier bancaire sur le net (fiche de paye, compte à vue, compte A, livret de famille, assurance vie, acte de donation), sans jamais avoir reçu de réponse et les fichiers sont toujours là. (et je suis sur de l’adresse email :p)

  7. Heat Miser 6 Oct, 2011

    J’attends souvent assez longtemps, même après réponse de la personne pour voir les fichiers disparaitres.

    Il faut toutefois être assez prudent dans la manière de présenter les choses, certains pouvant se sentir agressés.

    Dans tous les cas tu ne peux pas supprimer les fichiers toi même…

  8. truffe 6 Oct, 2011

    il n’a jamais été question de supprimer les fichiers moi même, j’ai toujours tenté de mettre le maximum de distance et de politesse dans mon mail, mais je ne vais pas courir après une réponse non plus, je cherchais juste à le mettre en garde.

    Après si les gens veulent avoir des comptes en ligne ou pour se loguer il faut une adresse email et un code de 4 ou 6 chiffres (typiquement une date de naissance), et que le tout traine via une recherche google, je n’en suis pas maitre 🙂

Commenter




Celadon theme by the Themes Boutique