Pascal Lointier (Clusif) : « Le Google hacking est méconnu des entreprises »

Cloud

Le président du Clusif détaille les risques de vols des données sensibles d’une entreprise via les moteurs de recherche.

Parmi les nombreuses fonctionnalités de Google, l’option « cache » semble être une arme redoutable…
Tout à fait. D’ailleurs, Google a connu des démêlés judiciaires à cause des problèmes de cache [fonction qui permet de consulter des pages sauvegardées par Google qui ne sont plus disponibles sur le site d’origine, Ndlr]. Par conséquent, il faut se méfier de l’information fugace que l’on met en ligne et que l’on retire immédiatement. Même une courte exposition peut être conservée dans le cache de Google.

Google permet-il de pénétrer dans les intranets, que l’on considère comme des réseaux privés ?
Je compare souvent un virus à un agent de robot d’un moteur de recherche : il effectue une recherche exhaustive. Si l’intranet d’une entreprise dispose d’une porte d’entrée via Internet, un défaut d’architecture (absence de pare-feu par exemple) permet de s’infiltrer. Encore une fois, je ne voudrais pas généraliser ce risque. Les intranets ne sont pas exposés s’ils sont munis d’un pare-feu correctement configuré.

Aux Etats-Unis, on a beaucoup entendu parler de problèmes liés aux vols massifs de données nominatives sensibles (comptes bancaires, numéros de sécurité sociale?). Un moteur peut-il favoriser une propagation incontrôlée de ces données ?
J’ignore dans quelle mesure un moteur comme Google peut aspirer ces bases énormes contenant des millions de données et faciliter leur téléchargement. Plusieurs institutions bancaires américaines ont révélé officiellement qu’elles avaient perdu des banques de sauvegarde. Manifestement, des individus se sont spécialisés dans le vol de ces données de sauvegarde qui fournissent des profils d’identité. Ils peuvent servir à des groupes criminels organisés ou des terroristes cherchant des moyens de clandestinité sous de fausses identités. La multiplication des cas de vols de bases d’informations dans un Internet sous-sécurisé et de références sur des pistes magnétiques a obligé les Américains à réagir. Ils ont mis en place un nouveau standard qui définit une méthode de conservation des données financières.

L’une des grandes tendances des moteurs est de fouiller dans les disques durs des ordinateurs. Ces fonctionnalités représentent-elles un risque supplémentaire ?
C’est un risque grandissant. Quand on lance une indexation, reste-t-on sur sa machine ? Si l’indexeur personnel reste sur votre ordinateur qui reste connectée à l’ADSL, il est possible que votre machine soit exposée d’une manière ou d’une autre sur Internet. Ce qui attire beaucoup plus ma vigilance, ce sont les prochaines annonces de Microsoft liées à Windows Vista ou à la nouvelle version d’Office. La recherche d’informations en local sur son PC ou sur le Web va devenir transparente pour l’utilisateur. C’est une approche dangereuse en cas de sauvegarde. Comment savoir si l’information sera stockée sur votre ordinateur ou ailleurs ? Un autre exemple concerne les fonctions de sauvegarde des documents en peer-to-peer, développées par certaines start-up. Cette approche me laisse tout aussi perplexe.

Un spécialiste du phénomène du Google hacking
Johnny Long est un conférencier de haut niveau. Cet expert américain a mis en place les infrastructures de nombreuses sociétés et agences gouvernementales américaines en collaborant avec CSC (Computer Science Corporation). Il exploite son propre site d’information.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur