Avis aux hackers en herbe : il existe un outil efficace sur Internet pour tenter de pirater les sites des entreprises. Son nom : Google. En effet, en envoyant des requêtes spécifiques, il est possible d'accéder à quantité d'informations concernant une entreprise, voire à son infrastructure informatique.

Dernièrement, les forums spécialisés faisaient état de requêtes permettant d'accéder aux images transmises par des centaines de caméras de surveillance. Mal configurées ou non protégées par un mot de passe, les interfaces Web d'administration de ces caméras étaient accessibles à n'importe qui tapant la requête ad hoc.

D'autres requêtes permettent de trouver des mots de passe, des serveurs vulnérables, des interfaces web d'administration d'imprimantes et autres messages d'erreurs un peu trop parlants. «  Google [mais aussi d'autres moteurs de recherche, NDLR] peut autoriser un pirate à divulguer les informations sensibles d'une entreprise, mais pas à créer des attaques classiques de type dépassement de mémoire tampon  », précise Kartik Trivedi, consultant chez Foundstone, filiale de McAfee.

Autre exemple, fin décembre, le ver Santy exploitait Google pour repérer les sites vulnérables à une faille du logiciel phpBB. Face à ces dangers, Found-stone propose un outil gratuit, SiteDigger 2.0.

Par rapport à la version 1.0, lancée l'été dernier, la version 2.0 voit le nombre de signatures correspondant à des hacks possibles à partir de Google passer de 150 à 800. Ces signatures sont issues d'une base de données gérée par Foundstone et de la base Google Hacking Database (GHDB) du site johnny.ihackstuff.com.

Pour fonctionner, SiteDigger requiert une licence pour l' API Google, disponible gratuitement, afin d'accéder à la base des pages indexées par le moteur de recherche par le biais d'un service Web. Une fois le site balayé, SiteDigger présente un rapport sous la forme d'une page HTML, avec les faiblesses et les vulnérabilités du site classées selon leurs types. Il ne reste plus qu'à les corriger.