Aller au contenu
Sécurité medium

Google Dorks : reconnaissance passive et protection

8 min de lecture

Les Google Dorks sont des requêtes de recherche avancée qui exploitent les opérateurs de Google pour retrouver des informations précises, parfois exposées par erreur : fichiers de configuration, sauvegardes, pages d'administration. C'est la forme la plus accessible de reconnaissance passive : aucune connexion au serveur cible, seulement l'index public de Google. Ce guide s'adresse aux administrateurs et auditeurs qui veulent comprendre ces requêtes, les utiliser pour un audit légitime, et surtout protéger leurs propres sites des fuites qu'elles révèlent.

  • Maîtriser les principaux opérateurs de recherche avancée.
  • Reconnaître les requêtes qui exposent des données sensibles.
  • Consulter la Google Hacking Database.
  • Protéger un site contre l'indexation involontaire.
  • Rester dans un cadre légal et éthique.

Le terme a été popularisé en 2002 par Johnny Long, chercheur en sécurité, qui a montré que des requêtes bien construites révélaient des informations sensibles indexées par erreur. Un Google Dork n'exploite aucune faille du moteur : il affine simplement la recherche avec des opérateurs pour isoler ce qui n'aurait jamais dû être public. C'est pourquoi il figure dans la phase de reconnaissance d'une attaque, au même titre que le scan de ports.

La puissance des Google Dorks tient à une poignée d'opérateurs que l'on combine. Chacun restreint la recherche sur une facette précise de la page.

OpérateurRôleExemple
site:Limiter à un domainesite:exemple.com "confidentiel"
filetype: / ext:Restreindre à un formatfiletype:pdf guide utilisateur
intitle: / allintitle:Chercher dans le titreintitle:"rapport annuel"
inurl: / allinurl:Chercher dans l'URLinurl:admin
intext: / allintext:Chercher dans le corpsintext:"mot de passe"
cache:Version en cache Googlecache:exemple.com
after: / before:Filtrer par datesite:exemple.com after:2022-01-01

Combinés, ces opérateurs deviennent redoutables : filetype:xls site:exemple.com cherche des tableurs sur un domaine précis, et inurl:login intitle:"admin" isole les portails d'administration.

Ces requêtes illustrent ce qu'un audit défensif cherche sur votre propre périmètre. L'objectif est de trouver l'exposition avant un attaquant, jamais de fouiller un tiers sans autorisation.

filetype:xls site:exemple.com
inurl:login intitle:"admin"
intitle:"index of" "parent directory"
filetype:txt "password"
intitle:"error log" filetype:log

Ces motifs cherchent respectivement des tableurs exposés, des pages de connexion, des répertoires ouverts (listing d'index Apache/Nginx mal configuré), des fichiers de mots de passe et des journaux d'erreur laissés accessibles. Une même logique permet de repérer des flux de caméras IP non protégés ou des sauvegardes .sql et .bak indexées.

La Google Hacking Database (GHDB), hébergée par Exploit-DB, recense des milliers de dorks classés par catégorie : fichiers contenant des mots de passe, pages de connexion, appareils en ligne, messages d'erreur révélateurs. Maintenue par la communauté, elle est un catalogue prêt à l'emploi aussi bien pour l'auditeur que pour l'attaquant. La consulter sur votre propre domaine est un excellent point de départ d'audit.

La bonne nouvelle : se prémunir des Google Dorks relève d'une hygiène de configuration classique. Voici les mesures qui coupent l'exposition à la racine.

  • Sortir les fichiers sensibles de la racine web : config.php, .env, sauvegardes .sql/.bak ne doivent jamais être servis par le serveur web.
  • Désactiver le listing de répertoires (Options -Indexes sur Apache, autoindex off sur Nginx) pour supprimer les pages « index of ».
  • Protéger les répertoires d'administration par mot de passe (.htaccess/.htpasswd) ou par filtrage d'IP.
  • Encadrer l'indexation avec robots.txt, en gardant à l'esprit qu'il cache la page des résultats, pas le fichier : c'est un signal pour les robots honnêtes, pas un contrôle d'accès.
  • Auditer régulièrement votre domaine avec les dorks eux-mêmes pour détecter ce qui a fuité.
User-agent: *
Disallow: /admin/
Disallow: /confidential/

Le fait qu'une donnée soit techniquement accessible ne la rend pas libre d'exploitation. Consulter des informations personnelles indexées par erreur peut constituer une atteinte à la vie privée ou une infraction, selon les lois locales. Trois principes encadrent tout usage :

  • Autorisation préalable : sur un périmètre tiers, un audit ne se mène que dans le cadre d'un contrat de test d'intrusion explicite.
  • Ne pas exploiter les données trouvées : les repérer pour alerter le propriétaire est légitime, s'en servir ne l'est pas.
  • Distinguer audit et intrusion : vérifier la présence de fichiers publics est acceptable ; contourner un mécanisme de sécurité ne l'est jamais.

Plusieurs outils enchaînent des dorks à grande échelle pour un audit systématique. Ils montrent aussi la facilité avec laquelle un attaquant collecte des données exposées.

  • SiteDorks : lance une batterie de dorks contre un domaine précis.
  • GooDork : outil en ligne de commande Python pour scripter les recherches.
  • theHarvester : collecte e-mails et sous-domaines, avec un volet dorking, utile en début d'audit.
  • Un Google Dork est une requête avec opérateurs qui isole des données précises dans l'index public de Google.
  • Il n'exploite aucune faille : il révèle une mauvaise configuration qui a laissé un fichier crawlable.
  • Les opérateurs clés sont site:, filetype:, intitle:, inurl: et intext:.
  • La protection est une hygiène de configuration : sortir les fichiers sensibles de la racine, couper le listing, authentifier l'administration.
  • robots.txt n'est pas un contrôle d'accès : il faut de l'authentification ou du retrait, pas du camouflage.
  • Sur un périmètre tiers, l'usage exige une autorisation écrite.

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracking. Un soutien, même symbolique, m'aide à couvrir l'hébergement et à garder ces ressources gratuites. Merci pour votre appui.

Le formulaire ne s'affiche pas ? Ouvrir Ko-fi dans un onglet.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn