|
| |
|
|
 |
| Google Code Search : une arme de plus pour les pirates ? |
| Les dérives découlant de l'utilisation de l'outil sont multiples. Découverte de vulnérabilités, de données sensibles, vol de propriété intellectuelle, le Google Hacking fait de nouveau parler de lui.
(16/10/2006) |
|
Google, même si on tend de plus en plus à l'oublier, a pour cur de métier, la recherche sur Internet. Peut être le Labs, le laboratoire de développement de la société a-t-il tenu à nous le remémorer en ouvrant son module Google Code Search. Grâce à ce dernier, destiné aux développeurs, il devient possible de rechercher du code de programmation sur le Web.
Ce nouveau service permet de retrouver aussi bien des lignes de code publiées sur une page Web que celles insérées dans des fichiers compressés (zip, tar.gz et .tar). Tout comme dans un moteur traditionnel, l'utilisateur peut effectuer des requêtes par mots-clés, mais également, et là est la nouveauté, par langage (ASP, Java, Fortran, Javascript, C++, PHP, etc.) ou encore par licence de code (Aladin, BSD, GPL, Mozilla Public Licence, etc.).
Dans la pratique, le moteur permet donc de chercher et trouver du code source public afin d'aider les développeurs à accéder plus aisément à des données pour compléter leurs propres développements. A priori, Google Code Search est donc une avancée. Et sans doute en est-il bien une pour le monde de l'Open Source.
En revanche, sur le plan de la sécurité, il fait ressurgir des risques que le moteur de recherche avait déjà lui même mis en lumière. "Google et les moteurs ont tendance à indexer un peu tout et parfois même des éléments qu'une entreprise ne souhaiterait pas forcément rendre disponibles en ligne", rappelle ainsi le président du Clusif et ingénieur en sécurité, Pascal Lointier.
La chose n'est en effet pas nouvelle. L'indexation des pages HTML n'est pas la seule tâche réalisée par les moteurs. Lorsque la sécurité est trop permissive, Google peut ainsi aller jusqu'à cartographier les réseaux Intranet des entreprises. Quant à sa mémoire cache, elle peut conserver des données sensibles, même si ces dernières ne sont plus en ligne.
Un chercheur, Johnny Long, auteur de Google Hacking For Penetration Testers l'avait très justement illustré dans son ouvrage. Par l'intermédiaire de Google, il est ainsi possible d'accéder à des données sensibles : mots de passe, numéros de sécurité sociale, vulnérabilités, voire des rapports stratégiques d'un concurrent si celui-ci a été suffisamment imprudent.
"Cela pourrait permettre une amplification de l'exploitation des failles"
(P. Lointier - Clusif)
|
Pour Pascal Lointier, "les réflexions que peut amener Google Code Search sont de trois ordres : la détection des failles de sécurité, les atteintes à la propriété intellectuelle et le reverse engineering."
En effet, grâce à ces nouvelles fonctionnalités de recherche, examiner du code en vue d'y découvrir des vulnérabilités exploitables pour des actes malveillants devient plus aisé. Bien sûr lorsque le code est Open Source, il est également possible pour des individus bien intentionnés d'émettre des alertes.
Un bénéfice qui a toutefois ses limites comme l'explique l'ingénieur en sécurité : "Le libre est certes dynamique dans le développement des mises à jour, mais la dynamique est au niveau des serveurs de mise à disposition des patchs, pas des entreprises".
"Ce qu'il ne faut pas oublier, c'est que ce n'est pas parce qu'une faille est corrigée côté éditeur, qu'elle le sera systématiquement par les entreprises. Le déploiement n'est pas instantané. Cela pourrait donc permettre une amplification de l'exploitation des failles", poursuit-il.
Le second point, relatif à la propriété intellectuelle, se pose dès lors qu'une personne peut accéder à du code source propriétaire sur Internet pour soit le contrefaire, soit rechercher des failles. Si cela était déjà possible avec Google, ce nouvel outil risque de contribuer à en simplifier plus encore la démarche.
| Un outil, tout comme Metasploit, à double tranchant |
Enfin, troisième élément corollaire du précédent, le risque de reverse engineering si le moteur accédait à des données supposées indisponibles. Le procédé consiste à partir du code compilé pour en retrouver le code source et ainsi identifier le fonctionnement et les articulations d'une application.
"Ce procédé fait l'objet d'un encadrement légal strict en France", rappelle Pascal Lointier. "Il n'est possible que lorsqu'on a reçu l'autorisation de le faire. Il faut pour cela posséder une licence. Il doit en outre être fait dans un but d'interopérabilité. Et enfin, il est interdit de rendre public ce dont on aurait pu avoir connaissance, comme des failles."
Google Code Search, bien que son dessein ne soit pas la pratique d'actes de malveillance, saura trouver sa place dans l'arsenal des pirates. Toutefois, des outils comparables existaient déjà, tels que Krugle et de Koders, mais ces derniers ne possèdent pas la capacité d'indexation de Google.
"Il y aura toujours un dévoiement des technologies", commente le président du Clusif. "Je n'ai aucune opinion sur le produit en lui-même, mais il faut toutefois attirer l'attention sur les dérives accidentelles ou malveillantes qui peuvent en découler. Il faut toujours bien distinguer le produit et la manière dont il va être utilisé.", précise-t-il également.
Ainsi, Metasploit Framework, un environnement dédié au développement d'exploits et aux tests de sécurité peut être utilisé pour des intrusions et non uniquement des tests permettant de renforcer la sécurité. Il en va de même du moteur de recherche des sites Internet hébergeant des codes malicieux dont le code source a été publié par son auteur, le chercheur H.D. Moore.
|
|
|
|
Dossiers
