La récente annonce du Groupe Cult of the Dead Cow a permis de mettre à nouveau en lumière un aspect toujours plus crucial dans la sécurité du Web. Fabien Spagnolo, consultant sécurité des systèmes d’informations chez Integralis, propose dans cette tribune de décoder l'outil GoolagScan, un outil qui présente l'intérêt d'automatiser la vérification de la présence de vulnérabilités connues ou de fuites d'informations sensibles sur les sites Web.


Chaque jour, sur les listes dédiées à la publication de vulnérabilités, on retrouve des attaques spécifiques affectant des applications Web. Leur fréquence a largement augmenté ces dernières années, et elles sont aujourd'hui prépondérantes en quantité si on compare leur nombre avec le nombre de vulnérabilités touchant les applicatifs dits classiques.

Ceci peut s'expliquer par le foisonnement de l'offre liée à une forte demande d'accès web, que ce soit pour publier des données,  offrir davantage de services à ses clients ou faciliter la mobilité de ses utilisateurs en ouvrant des accès à des ressources internes par la simple utilisation d'un navigateur Internet.

En outre, le contrôle des données et applicatifs publiés sur les sites web est parfois aléatoire. Les développeurs d'applicatifs web ne sont pas toujours tenus au fait des bonnes pratiques en  matière de sécurité. C'est ce qui explique qu'aujourd'hui les serveurs web sont souvent considérés comme une porte d'entrée potentielle vers les réseaux internes. Une aubaine pour un pirate.

Goolag Scan, un outil pour les hackers...

Le Google Hacking consiste à utiliser le moteur de recherche de Google pour recenser autant que possible les versions des applicatifs installés sur les sites webs, en recherchant des bannières particulières, des fichiers sensibles, des répertoires non sécurisés, l'accès à des portails connus, des messages d'erreur occasionnant une fuite d'information - comme une version de base de données -, etc. Google scanne en permanence Internet et indexe le contenu des pages web et l'architecture des sites qu'il visite.

Il suffit d'utiliser les mots-clés et la syntaxe appropriée pour rechercher dans le moteur de recherche de Google, par exemple, uniquement les fichiers d'un type donné ou une URL d'une version d'application réputée vulnérable.

Les pirates utilisent déjà ces techniques. Généralement, la publication d'une faille de sécurité exploitable à distance sur une application web, par exemple l'outil de publication de blog très répandu Wordpress, se voit suivie de recherches Google massives pour rechercher les sites qui hébergent la version vulnérable. Les pirates n'ont plus qu'à lancer les attaques pour exploiter la faille dans la liste renvoyée par le moteur de recherche.

Si cette technique n'est pas nouvelle, et si d'autres applications de sécurité utilisent déjà ces techniques de manière automatisée, GoolagScan présente l'avantage de proposer un outil gratuit, dédié et simple à utiliser. Il suffit de lui indiquer le nom d'un site à analyser, de sélectionner la catégorie de failles connues dont on souhaite vérifier la présence, et de laisser l'outil interroger le moteur de rechercher de Google, puis de renvoyer les résultats.

On pourra choisir, par exemple, de rechercher uniquement les répertoires sensibles, les fichiers contenant des mots de passe, des pages contenants des informations réseau ou des données vulnérables, des interfaces d'administration d'équipements comme des imprimantes, des routeurs, des webcams, etc.

...et pour les administrateurs de sites Internet

Comme la plupart des outils permettant de tester la sécurité d'un système, celui-ci est à double tranchant. Il peut être utilisé par les administrateurs afin de valider que les sites, qu'ils administrent ou qu'ils possèdent, sont exempts de failles connues vis-à-vis de ce type de technique.

Mais ils peuvent également être employés par des pirates pour rechercher des points d'entrée potentiels vers des ressources internes, par des spammeurs pour récupérer des adresses emails, par des concurrents qui voudraient récupérer des données confidentielles.

Et c'est là que la technique de Google Hacking se révèle intéressante pour un individu malveillant. En effet, lors de la recherche des vulnérabilités, et contrairement à un scanner classique qui va se connecter sur un équipement pour l'analyser, le fait de s'adresser au moteur de recherche de Google rend le scan indétectable pour le site visé, puisqu'à aucun moment l'attaquant n'est en relation avec celui-ci. Il est dès lors tout à fait possible de dresser un portrait, même très sommaire, de la sécurité d'un site sans même s'y être connecté.

Comment se protéger contre de telles techniques ?

Il est tout d'abord important d'être conscient du fait que les serveurs web sont devenus les principales sources d'intrusions externes. Il convient dès lors de les traiter comme des points sensibles du réseau, avec les scripts et les informations qu'ils contiennent. Comme pour les autres équipements  réseau, il convient de faire le point régulièrement sur leur sécurité en s'aidant de ce type d'outils pour une  évaluation rapide ou en demandant un audit de sécurité plus complet à une société spécialisée.

De plus, il est nécessaire de traiter avec la plus grande prudence les informations et les fichiers qui seront publiés sur le site web, on a trop souvent pu retrouver des fichiers de bases de données complètes ou des numéros de cartes bancaires accessibles à tous.

On pourra également utiliser, à bon escient, le fichier robots.txt qui, situé à la racine d'un site web, permettra d'indiquer à tout robot d'indexation de page ce que l'on souhaite voir indexé pour être accessible via un moteur de recherche, et ce qu'on ne souhaite pas voir indexé.

Attention, si Google respecte les recommandations mises en place par l'intermédiaire de ce fichier, il n'est en aucun cas garanti qu'un autre moteur de recherche, moins courtois, les respecte. Il ne faut donc par considérer ce fichier comme une garantie de non indexation.

Il n'est pas impossible que Google réagisse à ce type d'outil. Il y a d'ores et déjà des requêtes considérées comme émanant d'un outil "indésirable" qui se retrouvent bloquées, ou des limitations qui demandent une action de l'utilisateur pour lancer la recherche.

De fait, si l'on sélectionne un certain nombre de tests simultanés, GoolagScan précise que votre adresse IP peut être bloquée par Google. Un test complet d'un site donné peut donc se révéler fastidieux.

En dehors de ces remarques, on se rappellera que la publication de cet outil permettra chacun de tester une partie de ses sites et de se sensibiliser aux différentes menaces qu'implique la présence d'un serveur web connecté sur Internet.