Google Dorking : j'ai passé des mois à explorer les failles de Google (et voici ce que j'ai vraiment appris)
J'avais 22 ans, un vieux PC portable qui surchauffait, et une idée fixe : trouver les fichiers "confidentiel" de ma propre entreprise sur Google. Pas par malveillance. Par curiosité pure. Et pour comprendre comment les hackers pensent.
Trois ans plus tard, je peux vous dire une chose : le Google Dorking, ce n'est pas un truc de génie. C'est une mécanique. Une fois qu'on a compris les opérateurs, on peut littéralement interroger Google comme une base de données mal configurée.
Mais attention. Je vais être direct : ce n'est pas un jeu. Utiliser ces techniques pour accéder à des données protégées, c'est illégal. Point barre.
Ce que je partage ici, c'est ce que j'ai appris en tant que professionnel de la cybersécurité : comment repérer les failles avant les attaquants, et comment protéger ce qui doit l'être.
Points clés à retenir
- Les Google Dorks sont des opérateurs de recherche avancée (comme
intitle:,filetype:,inurl:) qui permettent de filtrer les résultats Google avec une précision chirurgicale. - Un attaquant les utilise en phase de reconnaissance pour trouver des fichiers sensibles : mots de passe, bases de données exposées, configurations.
- Mais un bon Dorkeur éthique peut aussi auditer son propre périmètre : vérifier ce que Google indexe de son site, et corriger les fuites.
- Il existe des outils automatisés (comme DorkSearch ou GooDork) qui simplifient les recherches, mais une compréhension manuelle reste indispensable.
- Le risque juridique est réel : dès qu'on dépasse la consultation publique et qu'on télécharge ou exploite des données non protégées, on bascule dans l'illégalité.
Qu'est-ce que les Google Dorks ? Une définition claire (enfin)
Selon le glossaire des Assises de la Cybersécurité, les Google Dorks sont des combinaisons de mots-clés reconnus par le moteur de recherche Google (des opérateurs de recherche avancés). Ces combinaisons sont utilisées pour affiner les critères de recherche.
Le mot "dork" signifiant "idiot" en anglais, le Google Dork était tout d'abord « l'idiot de chez Google ». Mais puisque cela n'existe pas, il a bien fallu trouver une nouvelle signification pour recycler le terme.
Franchement, j'ai dû expliquer ça à au moins une dizaine de clients. Beaucoup croient que c'est un outil secret téléchargé sur le dark web. Non. C'est juste une syntaxe. Une façon de parler à Google.
Exemple concret : si je tape intitle:"mot de passe" filetype:xls, Google me renvoie tous les fichiers Excel dont le titre contient "mot de passe". C'est ça, un Dork. Simple, non ? Le problème, c'est ce qu'on trouve.
Et là, surprise : c'est souvent impressionnant. J'ai déjà trouvé un fichier "passwords_2020.xls" indexé sur un site d'une mairie française. Vrai. J'ai immédiatement prévenu le service informatique, évidemment.
Les commandes Google Dorks : ma liste personnelle (testée et approuvée)
Quand j'ai commencé, je me suis contenté de copier-coller des listes trouvées sur GitHub. Résultat ? 80% des requêtes ne fonctionnaient pas. Pourquoi ? Parce que Google modifie régulièrement sa syntaxe, et que les opérateurs ne sont pas tous compatibles entre eux.
Voici les 5 opérateurs que j'utilise vraiment, avec des exemples concrets.
intitle: – chercher dans le titre de la page
Syntaxe : intitle:"mot de passe". Utile pour trouver des pages dont le titre est explicite. Exemple réel : intitle:"index of" wp-content permet de repérer des dossiers WordPress exposés.
filetype: – filtrer par type de fichier
Mon préféré. filetype:pdf, filetype:xls, filetype:sql. Attention : Google ne supporte plus filetype:doc de manière fiable. Il privilégie désormais filetype:pdf et les formats courants.
inurl: – chercher dans l'URL
Exemple : inurl:admin pour trouver les pages d'administration. Mais attention au bruit : beaucoup de sites utilisent "admin" dans des contextes anodins. Combinez toujours avec un autre opérateur.
site: – limiter à un domaine
Indispensable pour un audit de sécurité. site:monsite.com filetype:pdf. Cela m'a permis de découvrir, chez un client, un fichier PDF contenant les identifiants d'un serveur de test. Totalement exposé.
cache: – voir la version archivée
Moins connu, mais puissant. cache:monsite.com affiche la dernière version indexée par Google. Utile pour vérifier si une page supprimée est toujours visible via le cache.
Table récapitulative des opérateurs :
| Opérateur | Fonction | Exemple |
|---|---|---|
intitle: | Recherche dans le titre | intitle:"confidentiel" |
filetype: | Filtre par extension de fichier | filetype:sql |
inurl: | Recherche dans l'URL | inurl:admin |
site: | Limite à un domaine | site:exemple.fr |
cache: | Affiche la version indexée | cache:google.com |
Les "sites secrets" de Google : un mythe (et quelques Easter Eggs)
On me demande souvent : "Tu as des sites secrets de Google à me donner ?"
La réponse courte : non, il n'y a pas de "sites secrets" au sens où on l'entend. Pas de pages cachées avec des données confidentielles accessibles via un simple mot-clé.
Par contre, Google regorge d'Easter Eggs amusants. En voici quelques-uns que j'ai testés :
- Google Klingon : tapez "Google Klingon" puis cliquez sur "J'ai de la chance". L'interface passe en Klingon. (Oui, les développeurs de Google ont des passions étranges.)
- Google Tilt : tapez "tilt" ou "askew". Votre fenêtre de résultat penche. Idéal pour faire une blague à un collègue.
- Do a barrel roll : la page fait un 360°. Ça ne sert à rien, mais c'est drôle.
- Atari Breakout : tapez "atari breakout" dans Google Images. La page se transforme en jeu de casse-briques.
- Blink : tapez "blink HTML". Les mots "blink" et "HTML" clignotent. Nostalgie des années 90.
Ce ne sont pas des Dorks. Ce sont des fonctions cachées. Mais ça montre que Google n'est pas un moteur "sérieux" à 100%. Il y a une part de jeu, de créativité.
Bon, maintenant, passons aux choses sérieuses.
Est-ce que Google collecte les données ? Oui, mais c'est plus complexe que ça
Question évidente : si je fais une recherche Google, mes données sont-elles collectées ?
Oui, Google collecte des données. C'est un fait. Chaque recherche, chaque clic, chaque site visité génère des informations qui sont enregistrées et analysées. Les CGU de Google précisent explicitement que l'entreprise utilise ces données pour améliorer ses services, personnaliser la publicité et développer l'IA.
Mais attention : il y a une nuance importante entre collecter des données de navigation et accéder à des données publiquement indexées. Quand vous faites un Dork, vous ne piratez pas Google. Vous interrogez son index public. Vous ne faites que demander à Google de vous montrer ce qu'il a déjà indexé.
Le problème, c'est que beaucoup d'entreprises ne réalisent pas ce qu'elles exposent. Un fichier config.php avec des mots de passe en clair, un dossier /backup ouvert, un document Excel listant les employés et leurs salaires – tout ça peut être indexé par Google si le fichier n'est pas protégé par un robots.txt ou une authentification.
La responsabilité est partagée : Google indexe ce qui est accessible. Mais c'est au propriétaire du site de dire "non, ce dossier doit rester privé".
Google Dorking : exemples concrets (et leçons apprises)
Exemple 1 : la fuite de fichiers WhatsApp
Un jour, je tombe sur un Dork qui circule sur Twitter : filetype:pdf intitle:"WhatsApp" inurl:backup. Résultat : des centaines de fichiers PDF contenant des historiques de conversations WhatsApp, probablement issus de sauvegardes mal configurées.
J'ai testé. Vrai. J'ai trouvé des conversations privées d'une petite entreprise française. Je n'ai rien téléchargé. J'ai juste vérifié l'existence. Puis j'ai envoyé un mail anonyme à l'entreprise pour les prévenir.
Leçon : vérifiez vos sauvegardes cloud. Un dossier partagé par erreur peut exposer des années de données.
Exemple 2 : les bases de données MySQL exposées
Requête : filetype:sql intitle:"-- MySQL dump". Cette requête trouve des dumps de bases de données MySQL. J'en ai trouvé un contenant les identifiants de connexion d'un site e-commerce. Horrible.
Leçon : ne laissez jamais un dump de BDD accessible publiquement. Même pour un test. Même pour "un instant". Le temps que Google l'indexe, c'est trop tard.
Exemple 3 : les fichiers de configuration (PHP, Apache)
Requête : filetype:php intitle:"phpinfo()". Cette recherche trouve les pages phpinfo() qui affichent toutes les configurations du serveur. J'en ai trouvé une sur un site d'une université française. PHP, MySQL, versions de logiciels, chemins absolus – tout était visible.
Leçon : désactivez la fonction phpinfo() sur vos serveurs de production. C'est une vulnérabilité d'information critique.
Comment se protéger du Google Dorking ? Mes 5 règles
Après des mois à explorer et à auditer, j'ai mis en place des contre-mesures simples. Les voici :
- Utilisez un fichier
robots.txtstrict : interdisez l'indexation des dossiers sensibles (/admin,/backup,/config). Vérifiez-le régulièrement. - Ne laissez jamais de fichiers de configuration en accès public :
.env,config.php,settings.xmldoivent être hors du répertoire web. - Activez l'authentification HTTP sur les dossiers critiques : au minimum, un mot de passe pour accéder à
/admin. - Auditez régulièrement votre propre site avec des Dorks : tapez
site:monsite.comet combinez avecfiletype:pdf,filetype:sql,inurl:admin. Vous serez surpris. - Formez vos équipes : un développeur qui uploade un dump de BDD sur un serveur public, c'est un risque énorme. Expliquez-lui pourquoi.
Outils et ressources pour aller plus loin
Si vous voulez vous former (de manière éthique), voici ce que j'utilise :
- Google Dorking commands (PDF) : de nombreuses listes sont disponibles en PDF. Cherchez "Google Dork PDF" sur GitHub.
- DorkSearch : une interface web qui permet de construire des Dorks sans taper la syntaxe à la main.
- GooDork : un outil en ligne de commande pour automatiser les recherches. Attention : ne l'utilisez que sur des cibles autorisées.
- Exploit-DB : une base de données des vulnérabilités, avec une section dédiée aux Google Dorks.
Mais surtout, formez-vous. Les formations en cybersécurité (comme celles proposées par DataBird, par exemple) vous apprendront les bases du pentesting éthique.
Les limites juridiques : où s'arrête le jeu ?
Je vais être clair : le Google Dorking n'est pas illégal en soi. Consulter un fichier public indexé par Google, c'est comme feuilleter un livre dans une bibliothèque. Mais dès que vous téléchargez, exploitez ou diffusez des données sans autorisation, vous basculez dans l'illégalité.
Exemple : trouver un fichier passwords.txt sur un site public, c'est une découverte. Le télécharger pour l'utiliser, c'est du vol de données. Le partager, c'est de la complicité.
La cybersécurité offensive (hacking éthique) est encadrée par un cadre juridique strict. Ne faites jamais cela sans un contrat, une autorisation écrite, ou dans un environnement de test isolé.
Moi-même, j'ai refusé des missions où l'on me demandait de "trouver des failles" sans cadre légal. Ne mettez pas votre carrière en danger pour un Dork.
Ce que j'ai vraiment appris du Google Dorking
Le Google Dorking, ce n'est pas un outil magique. C'est une manière de penser. Une manière de se demander : "Qu'est-ce que Google voit de mon site ? Et comment les autres peuvent-ils le voir ?"
Après des centaines de tests, je peux vous dire une chose : la plupart des entreprises ne savent pas ce qu'elles exposent. Un simple Dork peut révéler des failles béantes. Mais c'est aussi une opportunité : celle de les corriger avant qu'un attaquant ne les exploite.
Alors, utilisez ces connaissances. Apprenez. Testez sur vos propres projets. Mais n'oubliez jamais : avec un grand pouvoir vient une grande responsabilité (oui, je cite Spider-Man, mais c'est vrai).
Et si vous voulez une dernière recommandation : vérifiez votre propre site ce soir. Ouvrez Google, tapez site:votresite.com filetype:sql. Vous pourriez être surpris.
Moi, je l'ai été. Et ça m'a évité une catastrophe.