Tout le monde le sait, Google est une source d'information incontournable. Que ce soit pour un internaute lambda ou un pirate initié ...
Vous ne le savez peut être pas mais Google a lancé un nouveau service : Google CodeSearch. Encore en version béta, ce nouveau service vous propose de trouver des portions de codes sources dans différents langages : PHP, C, Pearl ... plus de 14 en tout !
Jusque là, c'est plutôt une bonne nouvelle. Le moteur permettant de trouver des fonctions déjà utilisées et de ne pas avoir à réinventer la roue à chaque nouveau programme. Oui mais .. le problème est que le GoogleBot indéxe tout sur son passage, y compris les archives (.ZIP ou .TAR par exemple). A partir de la, il peut y avoir un danger :Google Code Search permet de trouver toutes sortes de choses : les commentaires de développeurs agacés, les bugs , les mots de passe non cryptés, etc...
Voici quelques exemples de recherches possibles :
file:\.js$ XMLHttpRequest
Cherche l'expression XMLHttpRequest dans tous les fichiers portant comme extension « .js »
"backdoor password" (warning|shell)
Se passe de commentaire ...
« hello world ! » lang:c
Comment écrire « hello world » en C.
En voyant les possibilités de recherche, vous imaginez facilement tous les détournements que l'on peut en faire. Notez que grâce à ce nouveau service des laboratoires Google, des pirates sont tombés sur l'algorythme de génération de numéro de série pour WinZip.
|