Pascal Lointier (Clusif) : « Le Google hacking est méconnu des entreprises »

Cloud

Le président du Clusif détaille les risques de vols des données sensibles d’une entreprise via les moteurs de recherche.

Comment les entreprises peuvent-elles évaluer les risques liés à l’utilisation de Google et mettre en place des règles de sécurité pour protéger leurs données sensibles ? C’est le principal thème de Google Hacking, un livre écrit par Johnny Long, un auteur et consultant américain en sécurité renommé. Les éditions Dunod viennent de sortir la traduction française de cet ouvrage qui s’adresse en premier lieu aux DSI et aux administrateurs de réseaux. L’expression « Google hacking » désigne une nouvelle méthode de piratage qui permet de recueillir des informations confidentielles (mots de passe, fichiers…) à partir de requêtes spécifiques effectuées sur le moteur de recherche. Pascal Lointier, président du Club de la sécurité des systèmes d’information français (Clusif), a écrit la préface de la version française. Il revient sur les nombreux cas de malveillance perpétrés par la méthode du Google hacking.

Vnunet.fr : Dans quelle mesure Google représente-t-il une menace pour les entreprises ?
Pascal Lointier : En tant que moteur de recherche, Google a la capacité et l’objectif de référencer tous les documents accessibles sur le World Wide Web. Lorsqu’une entreprise laisse des informations sensibles accessibles de l’extérieur de manière accidentelle, ou par négligence, un moteur de recherche puissant comme Google aspire automatiquement ces données qu’il est possible de récupérer sans aucun contact direct avec ladite société. Johnny Long explique dans son livre que la requête de Google peut notamment être traitée via un relais proxy, ce qui permet de bénéficier d’un certain anonymat.

Pouvez-vous donner un cas concret d’entreprise qui a perdu des données sensibles par le biais de Google ?
Les exemples de Johnny Long repris dans le livre s’appuient sur des architectures américaines de réseaux informatiques dans lesquelles on met beaucoup de numéros de cartes en ligne, notamment des numéros SSN (des numéros qui permettent, aux Etats-Unis, de disposer par exemple d’un permis de conduire ou d’un crédit). Toutefois, le niveau d’exposition n’est pas forcément le même dans le monde. J’estime que la menace ne vient pas forcément des pirates mais plutôt du monde du renseignement qui peut utiliser cette technique pour récupérer des informations.

Google peut-il faciliter l’espionnage industriel ?
Pourquoi pas. A partir du moment du moment où les données sensibles d’une entreprise sont accessibles en ligne…

Les entreprises sont-elles conscientes de leur degré d’exposition sur le moteur de recherche ?
Non, je ne le pense pas. En termes de sécurité, nous sommes passés des tests intrusifs (un spécialiste essaie de pénétrer dans un réseau) à des test non intrusifs de vulnérabilité (le testeur essaie d’identifier un maximum de machines pour repérer les défauts de mises à jour des systèmes d’exploitation et des ressources afin de les corriger). Mais on oublie trop souvent le volet des contenus qui sont parfois diffusés à l’insu des entreprises.

Préconisez-vous la création d’une cellule de veille dans chaque entreprise pour surveiller ce qui est visible via Google ?
Au minimum, il faut se poser la question de la sécurité de l’information diffusée au sein d’une entreprise et à l’extérieur. Le pire, c’est l’insouciance ou la méconnaissance du risque.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur