Les moteurs de recherche peuvent servir aux pirates pour identifier les sites vulnérables. Toutefois, pour Hervé Schauer, spécialiste en sécurité internet, la faute n'incombe pas aux moteurs, mais bien aux sites eux-mêmes, qui mènent une politique sécuritaire bien trop laxiste.

Les pirates tirent profit des moteurs de recherche

Les pirates informatiques tirent profit de la puissance des moteurs de recherche, et notamment de Google, pour mener à bien leurs attaques. C'est ce que souligne une étude menée par des chercheurs de la société Imperva, dans le cadre de son Hacker Intelligence Initiative (HII). L’étude, "The convergence of Google and bots", se base sur ce que les experts ont observé dans les forums et les cas réels de piratage par ce biais. Le rapport vise aussi à mettre en garde les entreprises, dont la plupart possède des sites assez peu sécurisés. A l'aide de mots-clés spécifiques, il est en effet extrêmement simple d'identifier ces derniers à partir d'un moteur de recherche.

Référencement des sites potentiellement piratables

En pratique, les pirates, armés d’un navigateur et de requêtes spécifiquement conçues, utilisent des bots  (routines automatiques) pouvant effectuer jusqu'à 80 000 requêtes par jour sur le moteur de recherche. Ces bots enregistrent alors les références des sites présentant des failles, permettant aux pirates de dresser une sorte de carte des sites vulnérables.  "Il est extrêmement aisé d'identifier les sites vulnérables à partir de certains mots-clés", confirme Hervé Schauer, dirigeant du cabinet de conseil en sécurité HSC, et interrogé par l'Atelier. En précisant d’ailleurs que les sites gouvernementaux sont eux-mêmes aisément piratables. 

L'effort doit venir des entreprises, et non de l'environnement internet en lui-même

Schauer se démarque toutefois de l'étude, et assure que "la faute n'est absolument pas imputable aux moteurs de recherches en eux-mêmes". A son sens, ce phénomène tient à la mauvaise configuration de la plupart des sites internet, programmés dans une optique d'économie de dépenses, et dont la sécurité reste très archaïque. Il prend ainsi en exemple un évènement récent, le piratage du serveur Sony, qui n'a été rendu possible que parce que l'entreprise ne respectait pas les règles élémentaires de sécurité. "Tant que les entreprises ne prendront pas la décision de mettre en place des sites réellement sécurisés, les tentatives de sécurisation du net resteront vaines", conclut Hervé Schauer. 

 
Rédigé par Johnatan Farouz