Google livre ses secrets

Leader des moteurs de recherche récemment introduit en Bourse, Google n'a pas fini d'étonner. Des hackers américains ont commencé à répertorier plusieurs centaines de mots-clés permettant de déceler données confidentielles et failles de sécurité sur le Web.

L'un d'entre eux, Johnny Long, a entre autres travaillé pour les services de renseignement américains. "Hacker éthique", son métier est de pirater des serveurs informatiques à la demande de leurs propriétaires. Alors que la bulle Internet s'est focalisée, cet été, sur l'entrée en Bourse de la start-up, Long a donné plusieurs conférences remarquées sur l'emploi de son moteur de recherche comme outil de sécurité, voire de piratage, informatique.

Sa Google Hacking Database, lancée en début d'année, compte à ce jour plus de cinq cents entrées. Il s'agit essentiellement de requêtes à effectuer sur Google, afin d'obtenir des informations sensibles, et même d'effectuer des tests de sécurité. Toutes choses qui, d'ordinaire, nécessitent le recours à des moyens plus ou moins légaux, ainsi qu'à des outils réservés aux seuls experts.

Google propose en effet d'axer ses recherches, non seulement sur les textes, mais aussi sur le titre des pages indexées, leurs adresses (ou URL), ou encore différents types de fichiers (.doc, .xls, .pdf, etc.). Il est ainsi possible de retrouver des fichiers clients, ou comptables, des listes de numéros de carte bancaire, ou de sécurité sociale. Il est aussi possible de trouver trace de répertoires non protégés, de failles de sécurité, des fichiers de configuration, et même des mots de passe. Une véritable aubaine pour les pirates en informatique. D'autant que Google crée une copie de chaque fichier indexé, consultable en cliquant sur le lien "en cache" des pages de résultats. Ce qui permet d'effectuer tous ces tests de façon furtive, à l'insu des sites Web visés.

Juridiquement, Google n'a rien à se reprocher, son moteur ne faisant que référencer ce qui est accessible en ligne. Seuls les webmasters incompétents au point d'avoir mis des données sensibles sur le Net, ou responsables de ne pas avoir suffisamment protégé leurs sites, sont à blâmer. Google leur offre cependant la possibilité de désindexer tout ou partie d'un site.

Vu de France, premier pays développé à avoir décidé d'encadrer sévèrement le recours aux outils de sécurité informatique, cette façon d'utiliser Google tombe à point nommé. La loi pour la confiance dans l'économie numérique, validée en juin, punit en effet de trois ans de prison le fait, "sans motif légitime", de détenir ou de mettre à disposition tout programme conçu ou adapté pour "accéder ou se maintenir dans un système d'information". Censée lutter contre les auteurs de virus, et autres cyberdélinquants, elle a surtout jeté un froid dans la communauté française de la sécurité informatique. La notion de "motif légitime" étant laissée à l'appréciation de la justice, nombreux sont ceux qui, en France, ne savent plus aujourd'hui sur quel pied danser.

Les logiciels qu'ils utilisent servent en effet tout autant à attaquer qu'à se défendre, et sauf à arrêter de travailler, il est impossible de s'en passer. Johnny Long incite ainsi les webmasters à utiliser sa base de données pour déceler d'éventuels problèmes sur leurs sites. Mais Google a-t-il un "motif légitime" à mettre ainsi à disposition du monde entier failles de sécurité, fichiers clients, mots de passe et autres données "confidentielles" ? Espérons en tout cas que cela permettra de rappeler que, de même que l'habit ne fait pas le moine, le logiciel ne fait pas le délinquant.

Jean Marc Manach : Le Monde du 2 septembre 2004