Google Hacking : se faire pirater suite à une recherche ?
Le « Google Hacking » : utiliser Google pour la recherche précise d’informations
La puissance du moteur de recherche le plus populaire au monde permet de rechercher très facilement et simplement des informations précieuses de haute qualité.
Google corrige automatiquement l’orthographe de certains mots, il recherche également des mots synonymes, il permet d’être alerté à l’apparition d’un nouveau contenu.
Mais il permet de faire encore bien d’autres choses, notamment pour la recherche d’informations liées à la sécurité de son compte, de son entreprise et simplement de sa vie privée.
En effet un autre point fort de Google se situe au niveau des mots-clés spéciaux aussi appelés opérateurs de recherche. Ils permettent par exemple d’exclure un résultat ou d’en rechercher un sur un site précis uniquement.
L’article d’aujourd’hui vous aidera à utiliser tout le potentiel de Google afin de trouver plus rapidement ou plus précisément des informations qu’on recherche tous les jours.
Et si cela vous vient à l’esprit, sachez que Google est suffisamment intelligent pour détecter une recherche suspecte d’informations trop sensibles. Ne le faites pas, si vous connaissez l’affaire Bluetouff vous savez pourquoi.
Que pouvons-nous faire avec Google en plus d’une recherche « normale » ?
On peut obtenir les prévisions météo :
météo Strasbourg
On peut faire des calculs :
2+2
ou obtenir les graphiques des fonctions :
2*x +5
On peut convertir des unités :
15 pouces en cm
…de toutes sortes…
15 dollars en euro
On peut rechercher des films :
film: Avengers
On peut définir des termes :
définir: hacker
On peut également suivre son colis en mettant le numéro correspondant.
Et bien d’autres ! en fait vous trouverez la liste complète ici : http://www.google.fr/intl/fr/help/features.html
Sachez d’ailleurs que ces mots sont utilisables dans d’autres langues, par exemple pour définir et film je pouvais utiliser define et movie en anglais.
Google donne d’autres astuces ici http://www.google.com/insidesearch/tipstricks/index.html
Et moi j’en donne aussi d’autres ici : Apprendre à utiliser Google
Le Google Hacking en pratique
Entrons dans les détails plus avancés du Google Hacking avec un panel d’opérateurs de recherche ou de mots clés spécifiques.
En entourant une expression par deux doubles guillemets il est possible de rechercher cette expression exactement :
"antivirus Windows 11"
Google cherchera donc toutes les pages web qui contiennent exactement l’expression « antivirus Windows 11 » on devine bien qu’il s’agira d’obtenir des versions d’antivirus spécifiques à Windows 11.
L’opérateur tiret (-) :
logiciel de surveillance -webcam
Le moins (ou tiret) permet d’exclure un terme de recherche.
Dans cet exemple, il s’agit de rechercher des logiciels de surveillance qui ne concernent pas la surveillance par webcam.
Le mot clé inurl :
inurl:Expression
Le mot clé inurl permet de chercher une expression contenue dans une URL.
Le mot clé intitle :
intitle:Expression
Le mot clé intitle permet de rechercher une expression dans le titre d’une page web.
Le mot clé site :
site:www.SiteWeb.com Expression
Le mot clé site permet de rechercher une expression contenue dans un site web particulier.
Pour rechercher sur des sites français uniquement :
site:.fr Expression
L’astérisque :
"Apache version 2.*"
L’astérisque est le caractère joker, les résultats correspondront à toutes les phrases qui commencent exactement par « Apache version 2.» et qui auront n’importe quelle expression à la place de l’étoile. Typiquement toutes les versions 2 de Apache.
Les différentes techniques peuvent bien entendu être combinées comme dans ce dernier exemple où l’astérisque est placée à l’intérieur des guillemets.
Le mot clé filetype équivalent à ext:
filetype:pdf apprendre Pyhton
filetype signifie type de fichier et permet de rechercher un fichier spécifique selon son extension.
L’opérateur OR (en majuscule) :
manger OR boire
Ce mot clé permet de rechercher l’une ou l’autre des expressions mais pas forcément les deux en même temps. On a donc l’équivalent de deux recherches simultanées comme si vous recherchiez l’une après l’autre. (Google fait un AND par défaut).
L’opérateur ~ :
~vacances
Il s’agit de l’opérateur « synonyme », qui recherchera donc les expressions sémantiquement proches, comme « voyages » dans ce cas.
Alternativement vous pouviez taper « synonyme vacances ».
L’opérateur ip:
ip:xxx.xxx.xxx.xxx expression
Comme prévu, ce mot clé recherche une expression sur un adresse IP particulière.
Le Google Hacking appliqué au WebMarketing
Grâce à ces nombreux mots clés nous pouvons facilement prendre les devants sur la concurrence en analysant mieux le marché.
Le mot clé related :
related:www.leblogduhacker.fr
Ce mot clé demande de rechercher tous les sites liés.
Le mot clé inanchor :
inanchor:hacking
Ce mot clé permet de rechercher le texte des liens, comme Google Hacking dans cet exemple.
Le mot clé info :
info:www.leblogduhacker.fr
Affiche des informations plus ou moins techniques sur un site.
Le mot clé link :
link:www.leblogduhacker.fr
Ce mot clé affiche tous les sites qui font des liens vers un site donné.
Et enfin, Google prépare des opérateurs comme
#expression
Même principe que le hashtag sur twitter.
+pagegoogleplus
Rechercher une page Google Plus. À noter que ce terme, comme plusieurs autres cités peuvent disparaître dans le temps.
@Site
Rechercher un site sur les réseaux sociaux.
Et je le répète, il est possible de combiner tous ces mots clés !
Note:
Il est possible d’utiliser des mots clés comme allinurl, allintitle…etc. La seule différence c’est qu’avec ces derniers la recherche sera exacte.
Comment cacher nos informations privées
Nous avons parlé ici de Google Hacking, car même si nous n’avons volontairement pas parlé de moyens de trouver des informations « privées » (bien que publiques), il est possible de trouver des informations vous concernant avec une telle précision de recherche. Par exemple votre adresse e-mail, numéro de téléphone et identité en général.
Et si par mégarde vous avez laissé s’échapper un document confidentiel, que Google a pris soin d’indexer automatiquement, mieux vaut que personne ne le trouve ensuite.
Voici donc des astuces vous permettant d’empêcher l’indexation de Google :
- Empêcher le listing de répertoire
Pensez à éditer ou à placer un fichier .htaccess à la racine de votre site, et ajoutez y les lignes suivantes :
#on empêche le listing de tous les dossiers Options All -Indexes #Tant qu'a faire un protège son fichier .htaccess <Files .htaccess> order allow,deny deny from all </Files>
- Protéger un dossier par mot de passe
Empêcher le listing n’empêche pas une personne connaissant le nom de vos fichiers d’y accéder directement.
C’est pour cela que vous pouvez aussi demander un nom d’utilisateur et un mot de passe pour accéder à un dossier et aux fichiers à l’intérieur.
Le tutoriel suivant vous indique comment faire.
- Interdire l’indexation par les moteurs de recherche
Placez un fichier appelé robots.txt à la racine de votre site web et placez y le code suivant :
User-agent: * Disallow: /cgi-bin/ Disallow: /tmp/ Disallow: /~michel/
Ce code va interdire l’accès aux dossiers /cgi-bin/, /tmp/ et /~michel/ par les robots d’indexation. Mais pas par l’être humain pour autant !
Si vous n’avez pas accès à la racine de votre site web ou si vous souhaitez empêcher l’indexation d’une page précise, placez simplement le code suivant entre les balises <head> et </head> de votre page :
<META NAME="robots" CONTENT="noindex,nofollow">
Si jamais il est trop tard vous pouvez demander à Google de désindexer une page : https://support.google.com/webmasters/answer/164734?hl=fr
Veillez quoi qu’il arrive à bien faire attention à tous les fichiers privés que vous seriez amenés à partager sur internet. Cela reste la meilleure solution d’éviter tous problèmes.
Ressource supplémentaire : comment débuter en hacking
![Je teste un outil utilisé par la POLICE [forensique]](https://i0.wp.com/images.leblogduhacker.fr/2022/03/thumb-osforensics.png?resize=300%2C169&ssl=1)
30 Commentaires
Cliquez ici pour ajouter un commentaire
Intéressant merci
Très bon article comme toujours, merci !
C’est génial 😉
super cet article!
super article je vais enfin pouvoir mieux faire mes recherches merci beaucoup
très instructif, merci
Avec plaisir !
merci beaucoup
je suis dans un pays sous développer donc je peux pas me connecter à chaque moment vous pouvez m’aider pour avoir une connexion permanente
Je suis d’accord avec votre avis qui confirme que google est la plus célèbre moteur de recherche. Sans cet outil, nous ne pouvons récolter toutes ces informations importantes.
[…] Plus d’informations avec le Google Hacking. […]
Merci pour cette découverte des opérateurs de recherche !
Dommage que les deux liens en début d’article ne soient plus à jour. 🙂
http://www.google.fr/intl/fr/help/features.html renvoie sur https://support.google.com/websearch/?hl=fr#topic=3378866
http://www.google.com/insidesearch/tipstricks/index.html renvoie sur https://www.google.com/search/about/features/01
Bonne continuation.
Merci à vous pour avoir signalé les liens ! En voici deux autres qui donnent des pistes semblables : https://support.google.com/websearch/answer/2466433?hl=fr, https://support.google.com/websearch/answer/134479?hl=fr Bonne continuation à vous également !
Avec plaisir ! (Je suis encore en train d’errer sur votre site) 😀
Merci pour les équivalents qu’après lecture de cet article j’aurai dû chercher toute seule sur Google (quoi que j’utilise Ixquick depuis que je me suis rendue compte de tout ce qu’enregistrait Google sur ma pauvre personne).
Aucun problème 🙂 et merci pour la découverte de Ixquick que je ne connaissais pas ! Un concurrent de DuckDuckGo ?
Un équivalent oui, je suppose. Je me souviens avoir essayé DuckDuckGo, je ne sais plus trop ce qui m’a fait aller voir ailleurs. Il faudrait creuser le comparatif entre les deux… trois ? J’ai parfois lu le nom de StartPage également.
Effectivement les comparer serait une bonne idée, je vais voir de mon côté.
Bonjour
Pas de vrai example de Hack ni comment trouver les exploit ou poser les scripts
On apprends pas grand chose
Bonjour,
C’est juste, et vous ne trouverez pas non plus d’informations pour cambrioler votre banque ou pirater le Wi-Fi du voisin. Hacking ethique = hacking legal, vous ne trouverez pas ce que vous cherchez ici. Mais uniquement des informations pour vous protéger des menaces informatiques.
Bonjour Michel,
Voici une distinction importante à faire entre un « Hacker » et un « Cracker », ce qui permettra d’y voir un peu plus clair 🙂
Le hacker, c’est une personne qui PRATIQUE LE « HACKING » chez lui, à l’aide de ses équipements, de ses machines et de ses ressources techniques etc. qu’il a achetés ou obtenus gratuitement.
Le cracker, c’est un individu qui DEPLOIE DU « HACKING » chez les autres.
J’ai utilisé les mots « PRATIQUE » et « DÉPLOIE » pour bien distinguer les actes du « HACKER » et du « CRACKER ». Généralement, le terme « hacking » est assimilé à un « fouineur » ou un « bidouilleur ».
Par principe, disons qu’un Hacker est un « bidouilleur » à domicile. Un « Cracker » est un « pirate informatique ». Juridiquement parlant, je pense que cette distinction est importante.
Qu’en pensez-vous ?
Bonjour Diki, effectivement il y a beaucoup de façons d’interpréter le terme. Le but est de bien comprendre les différences sur le plan juridique 🙂
Rebonjour,
Je refais un passage furtif sur le ton de l’humour pour partager une anecdote récente que j’intitulerais: « Hacker pirate » malgré soi… » 🙂
Récemment, j’ai voulu tester 2 plugs CPL de marque TP-LINK (1200 M.bits/s) chez moi. Après une installation rapide, le résultat final est super intéressant. Au terme d’une journée d’utilisation, je me suis trouvé confronté à des « coupures réseau » intempestives. J’ai donc chercher (« fouiner ») à comprendre le dysfonctionnement.
Entre temps, j’étais en train de tester un outil pour cracker un login utilisateur d’un compte Windows (test) et un autre outil pour casser son mot de passe. Les outils, une fois lancé, ont scanné les « Hotsmane » utilisateurs visibles sur mon réseau. Sans trop réfléchir, car j’étais à la bourre, j’en ai sélectionné un. Résultat, j’ai pu accéder aux dossiers et fichiers partagés de l’utilisateur, SAUF QUE CET UTILISATEUR ÉTAIT UN VOISIN ! 🙂
Pour être honnête avec vous, j’ai pu accidentellement découvrir des RIB, des scans de Cartes Bancaires, de Pièces d’identité, factures EDF etc.etc. et bien plus… Je préfère taire le « bien plus » car là aussi j’ai eu ma dose de frayeur… Ma réaction a été « explosive » !
J’ai donc décidé de mettre un petit mot anonyme dans toutes les boites aux lettres de mes voisins pour les alerter et qu’ils puissent modifier leur sécurité réseau.
De mon côté, j’ai bien évidemment fait le nécessaire pour isoler définitivement la machine « test » sur laquelle j’avais branché un plug CPL.
Tout ceci pour vous dire ironiquement que l’on peut devenir, sans le vouloir, un « Hacker Pirate » malgré soi ! 🙂
Mon erreur ici a été de faire confiance à mon réseau privé (domicile) et d’aller beaucoup trop vite, sans prendre le temps de bien configurer la brique réseau et sécurité.
Pour ceux et celles qui utilisent des plugs CPL, je vous invite à installer et utiliser l’application « ADVANCED IP SCANNER », elle est gratuite, et vous aurez rapidement un visuel des « HOSTNAMES/IP/MAC » de votre réseau chez vous.
[…] Pour prendre l’exemple du CV, il est très facile pour l’employeur de chercher des informations sur le candidat en écrivant l’adresse dans un moteur de recherche. […]
[…] Ce qui va suivre existe depuis des années mais reste relativement méconnu. Cela s’appelle le Google Hacking et voici l’article qui en parle. […]
[…] Cela s’appelle le Google Hacking. […]
bon soir michel google hacking très bon sujet. et vu que cela fait partie des moteurs de recherche.
je profit ici d’une petit mise au point. je voie souvent dans les commentaire des gens
duckduckgo ? comme exemple de moteur de recherche. !
je pense que pas mal de gens ne font pas la différence avec les vrais moteurs de recherche.
encore une fois michel je pense en surprendre plus d’un. avec cela.
les cybercriminels aiment bien leur moteur de recherche menteur. et aiment encore plus que vous le conserviez
si possible à vie.
ils vont donc procéder à une usurpation une modification irréversible.
des réglages de votre navigation et de votre navigateur.
cette pratique est appelée hijacking.
et est impossible à inverser sauf à utiliser des outils de décontamination.
comment les cybercriminels développent un moteur de recherche menteur ?
menteur ou pas il faut tout de même que le moteur de recherche fournisse des résultats. sinon l’utilisateur
ne va jamais y revenir et tout faire pour se débarrasser définitivement de l’intrus menteur.
il est quasiment impossible de développer un moteur de recherche. les coûts de développement
seraient exorbitants et le temps pour alimenter sa base de connaissance bien trop compliquait.
ce n’est pas pour rien qu’il n’y a quasiment que 5 moteurs de recherche. les autres sont totalement marginaux
ou locaux à un seul pays.
ou sont des moteurs ou métamoteurs utilisant les résultats des 5 premiers. ce n’est pas pour rien que les
pseudo moteur de recherche comme duckduckgo n’en sont pas du tout. mais s’appuient sur google ou bing.
ce n’est pas pour rien que certains pseudo moteurs qui prétendent anonymiser nos requêtes en s’interposant
entre l’internaute et le vrai moteur de recherche consulté. disparaissent du jour au lendemain.
lorsque google dont le leitmotiv est mieux vous connaître pour mieux vous profiler en vous espionnant partout
tout le temps cesse de lui donner des résultats.
Merci pour cette remarque pertinente.
bonne soirée michel excuse si cela na rien avoir avec le sujet.
mais j’ai fait une grosse erreur de débutant comme quoi même avec un niveaux bien pousser
on fait des connerie. le t de l’adresse mail aurait du ne mettre sûr la piste.
mais comme sûr certain site où blog comme je les dit passer très bien sans le t
j’ai pas du tout penser a cela ! et comme tu le dit toi même d’une façon très
juste l’on fait très souvent des connerie en pensent bien faire
que cela puise servir comme exemple au gens.
bonjour michel le google hacking très très bon sujet. je donne ici un exemple
pour arrêter les robots web avec robots.txt
le fichier robots.txt fournit une liste d’instructions aux logiciels automatiques
d’indexation du web. qu’on appelle encore robots ou bots.
disponible sous sa forme standard à l’adresse www. robotstxt.org /wc/norobots.html
ce fichier vous permet de définir avec beaucoup de précision quels fichiers et répertoires
doivent rester hors de portée des robots web.
le fichier robots.txt doit être placé à la racine de l’arborescence de fichiers du serveur web.
et avec des droits d’accès tels que le serveur web puisse lire le fichier.
les lignes du début du fichier qui sont précédées d’un signe # sont considérées comme des
commentaires. et par conséquent ignorées.
chaque ligne qui n’est pas précédée d’un signe # doit commencer par une instruction
user-agent ou disallow suivie par le signe <> et éventuellement un espace.
ces lignes permettent d’interdire à certains robots d’accéder à certains répertoires
ou fichiers.
chaque robot web doit en principe disposer d’une identification » user-agent »
qui permet de l’dentifier.
l’identification user-agent de google est googlebot.
pour notifier une interdiction à google la ligne user-agent devra prendre la forme
user-agent: googlebot.
selon la spécification on peut utiliser le méta-caractère * dans le champ user-agent
pour indiquer que l’interdiction s’applique à tous les moteurs d’indexation.
la ligne disallow décrit ce qui précisément ne doit pas être vu par le robot.
à l’origine la spécification était très rigide indiquant que la ligne disallow ne pouvait comporter
qu’une url complète ou partielle. toujours d’après cette spécification originelle
le robot devait ignorer toute url commençant par la chaîne indiquée.
niveaux sécurité une chose important de savoir pour les débutants .
les hackers n’on pas à se soumettre à votre fichier robots.txt
en réalité les robots web n’y sont pas tenus non plus. même si la plupart
des robots des grands noms du web s’y conforment.
ne serait -ce que pour pouvoir revenir.
un truc de hacker très répandu consiste à examiner d’abord le fichier robots.txt
d’un site pour se faire une idée de la façon dont les fichiers et les répertoires sont organisés
sur le serveur. une requête google très rapide permet de révéler nombre de site dont
le fichier robots .txt a été analysé.
ceci bien sûr est une erreur de configuration car le fichier robots.txt
est conçu pour rester caché. voilà pour la petite info. sûr ceux bon soirée a toi michel.
bonjour michel j’ai fait une petit sujet sûr les robots.txt et comment les hacker les
analyse pour se faire une idée de la façon dont les fichiers et répertoires sont organisés
sur le serveur. et encore un très grand merci pour le mail que tu na fait parvenir.
le t était bien manquant dans nos adresse mail.