Les moteurs de recherche publics ou internes aux organisations offrent un moyen de « pêcher » des informations sensibles et techniquement accessibles à tous via des mots clefs bien choisis – les « Dorks ».
Deux actes médiatisés ces dernières années l’illustrent parmi bien d’autres : la fuite des données d’un parti politique français retrouvées sur le site de son hébergeur, en utilisant un Dork du type « Index of /», ou la découverte, par des services de contre-espionnage, de sites internet servant pour la communication entre une agence étatique et ses informateurs, entraînant la mort de plusieurs dizaines d’entre eux.
Sur Internet, la pêche aux « Dorks » s’exerce via des moteurs de recherche tels que Google et Bing mais également sur des moteurs hors US/EU qui, tout comme les sites d’archivage de pages web, sont susceptibles de conserver des informations retirées des bases d’index des moteurs de recherche classiques.
A titre illustratif, la recherche suivante : « inurl:files intext:nationalité filetype:xls intext:<un prénom ou un nom de famille type> » entrée sur un moteur de recherche largement utilisé, est susceptible de retrouver des fichiers Excel où figurent des informations nominatives mentionnant la nationalité de personnes. Cependant un seul mot bien choisi, par exemple le nom d’une application métier recherché sur Internet ou le mot « salaire » recherché sur l’intranet, peut suffire à pêcher des informations très sensibles.
Les moteurs de recherche internes à certains sites peuvent être également exploités. C’est le cas, par exemple, des sites spécialisés dans la mise en ligne de codes sources (ex : GitHub) ou de morceaux de textes (ex : PasteBin), des sites de forums techniques d’éditeurs de logiciels, ou de sites de CV en ligne contenant des descriptions parfois très précises sur des environnements techniques sensibles.
Le « Dorking » est à la portée du plus grand nombre, grâce aux nombreux tutoriels accessibles sur Internet, aux formulaires de recherches étendues (ex : celui de startpage.com) et surtout aux sites référençant des milliers de Dorks (ex : Google Hacking Database) organisés en fonction de l’usage attendu tel que retrouver des « Fichiers contenant des mots de passe ».
Le Dorking s’effectue plus communément à l’aide de recherches manuelles mais est susceptible d’être industrialisé grâce à des « Dork scanners » comme Zeus-scanner ou à l’aide d’outils PowerShell (PnP-PowerShell) pour les recherches dans Office365.
Pour se prémunir de l’exploitation malveillante du Dorking, les organisations peuvent notamment :
- Être en capacité de détecter les fuites d’informations sensibles sur le SI interne ou sur Internet, en examinant par exemple l’opportunité de recourir sur le SI interne à des produits de type DLP et sur internet à un service de veille des fuites d’informations, qui pourra également surveiller l’internet non-indexé, voire le Dark-Web.
- Mettre en place une classification des données et une gouvernance des partages internes (ex : les Groups Office 365) en commençant par les activités les plus sensibles (ex : groupes métiers sensibles, données clients, RH…).
- Encadrer contractuellement et opérationnellement les missions confiées aux prestataires via un Plan d’Assurance Sécurité et les sensibiliser à la protection et à la non-divulgation des informations auxquelles ils peuvent accéder ; lorsque c’est possible, prévoir un PV de destruction de données.
- Encadrer la communication d’informations sensibles aux partenaires sociaux, aux associations, etc. qui ne disposent pas toujours sur leur SI et sites Internet dédiés, de moyens de protection SSI équivalents à ceux de l’organisation ou de l’entreprise à laquelle ils sont liés.
Les organisations peuvent également prendre des mesures visant à limiter l’impact d’une fuite de données avérée :
- Disposer d’une fiche réflexe pour traiter la fuite, incluant la conduite à tenir vis-à-vis des moteurs de recherche et des sites l’ayant indexée (ex : gestion du référencement Google, etc …)
- Disposer d’un processus de gestion des incidents de sécurité, de data-breach (GDPR), de gestion de crise… incluant la notification potentielle aux autorités et personnes concernées.
- Disposer d’un processus et d’outils de veille sur les réseaux sociaux et media avec des réponses préparées.
Cette prévention peut en outre conduire à recourir à la technique du Dorking à des fins éthiques, tels que des audits de sécurité, ou des activités « Red Team » qui visent à se mettre à la place d’un acteur malveillant pour découvrir – avant lui – les failles et les informations qui permettraient de porter atteinte à l’organisation. Néanmoins, en fonction du contexte, il peut être préférable de bien encadrer en amont la communication des résultats de la mise en œuvre de techniques de Dorking, lesquelles peuvent donner lieu à la découverte d’informations personnelles ou/et sensibles, sur des ressources liées à l’entreprise ou à des acteurs externes.