Developpez.com

Le Club des Développeurs et IT Pro

La NSA publie « Démêlez le Web, un guide de recherches sur Internet »,

Son manuel du cyberespion

Le 2013-05-13 16:55:53, par Stéphane le calme, Chroniqueur Actualités
L'agence américaine de renseignement NSA a rendu public un guide pour mieux utiliser les moteurs de recherche, archives et autres outils sur le Web afin de « dénicher les informations confidentielles accidentellement tombées dans le domaine du public ».

À destination de ses cyberagents, le document n'aurait rien d'illégal et, selon ses auteurs, ne permettrait en aucun cas de pirater des données confidentielles.

Les experts expliquent que les données sont à la portée de n'importe quel internaute dès lors qu'il est doté d'un certain bagage en informatique.

Un journaliste a proposé une situation hypothétique dans laquelle un cyberespion, œuvrant pour le compte de la NSA, a pour mission de chercher des informations sensibles sur des entreprises sud-africaines. Il demande alors aux experts de la NSA comment doit s'y prendre leur collègue.

« Il suffit de rechercher des documents Excel que cette entreprise aurait publiés, par erreur ou inadvertance, en tapant simplement 'filetypels site:za confidential' sur Google » conseillent-ils.

Sur une autre situation mettant en scène un cyberespion devant impérativement trouver des mots de passe d'un site russe, ils conseillent juste d'écrire 'filetypels site:ru login', expliquant que « même si les sites sont rédigés dans une langue différente de l'anglais, les termes "identifiants" et "mot de passe", eux, restent généralement écrits en anglais ».

Bien que les auteurs aient précisé qu'ils n'encourageaient pas le piratage de sites Web ou de serveurs, ils livrent néanmoins quelques astuces pour y parvenir.

Source : guide de la NSA (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Ces méthodes ainsi décrites peuvent-elles être considérées comme une menace pour la sécurité sur le Web ?
  Discussion forum
9 commentaires
  • parrot
    Membre averti
    Un problème semblable se pose pour la publication des failles de sécurité. Faut-il les rendre public ou les garder secrètes?

    Les publications concernant la sécurité ont très souvent les deux faces: la blanche et la noire. Si l'on peut utiliser ces publications dans de mauvais buts, de même on peut aussi en tirer parti pour se protèger.

    C'est ce que je retiens du document de la NSA: connaissant les techniques de "Google hacking" (un exemple parmi d'autres figurant dans ce guide plutôt imposant avec ses 600 pages), on peut en déduire les moyens de se prémunir contre ces fuites d'information.

    Dans le domaine de la sécurité, l'ignorance est certainement le plus grand danger.
    le 17/05/2013 à 10:24
  • goomazio
    Membre chevronné
    Je pense que le manuel d'utilisation de Google à tout à gagner à être publique. Et d'autres règles comme "ne pas utiliser qu'un seul moteur de recherche" ne peuvent pas faire de mal.

    J'apprécie l'outil qu'est le moteur de recherche.

    Si expliquer comment se servir de Google est considéré comme dangereux pour la sécurité des internautes, alors que dire de Google en lui même ? Et inversément !?

    Ceci dit, je trouve inhumain de fliquer toute la population pour mieux la cerner pour ainsi vendre plus de produits.

    En faisant ainsi (en traçant les internautes), on peut dégotter l'information qui va permettre au commerçant d'être encore plus aimé de ses clients (bien écouter le client c'est utile, et le regarder aussi). Mais on pourrait, pour le même prix, faire une étude plus poussée permettant de savoir où appuier chez le client pour le faire avancer (le manipuler).

    La différence entre manipulation et "communication" (?) est floue exprimée ainsi, mais en même temps, quand on voit les articles et discussions qui pulullent sur le net à ce sujet, on doit bien admettre que reconnaitre un manipulateur n'est pas chose aisée.
    le 21/05/2013 à 19:13
  • goomazio
    Membre chevronné
    cyberespion... recherche sur le web...



    D'habitude je n'aime pas qu'on m'espionne, mais là je veux bien que Google utilise les éventuels fichiers XLS que j'aurais laissé sur le net pour cibler sa pub, pas de soucis !
    le 14/05/2013 à 8:50
  • marystark
    Candidat au Club
    Il ne faut pas mettre "site:.ru" plutôt?
    le 15/05/2013 à 14:12
  • apokrif
    Membre habitué
    Comme le dit Wired, cela rappelle simplement le livre Google hacking...

    Sur la surveillance d'internet par les services américains: http://news.yahoo.com/ap-exclusive-c...175316106.html

    Pour la paranoïa, lire plutôt:
    http://www.guardian.co.uk/commentisf...ded-fbi-boston
    http://www.schneier.com/blog/archive...es_and_ea.html
    le 28/05/2013 à 20:52
  • Merci la NSA,
    Quelqu’un pourrait me rappeler quelle est sa fonction à la base ???
    Encore un grand merci NSA...heureusement que tu pense a nous tous...
    le 31/05/2013 à 14:20
  • dragonno
    Membre confirmé
    Ce que je ne comprend pas c'est pourquoi la NSA qui est ce qu'elle est fait ce geste qui va à l'encontre des intérêts des commanditaires de la NSA.
    le 04/06/2013 à 17:17
  • Aniki
    Membre éprouvé
    Envoyé par dragonno
    Ce que je ne comprend pas c'est pourquoi la NSA qui est ce qu'elle est fait ce geste qui va à l'encontre des intérêts des commanditaires de la NSA.
    Peut-être parce qu'ils trouvent ça trop facile de récupérer des infos importantes.
    En publiant cet article, on peut penser que les entreprises deviennent un peu plus prudente. Résultat : la NSA pourra toujours se procurer les documents (Patriot act) mais les autres non !

    C'est vrai quoi, il faut se mettre à la place de la NSA.
    Ca doit être énervant pour ces mecs de s'appercevoir que tu peux trouver un document confidentiel en cherchant sur Google, alors que toi, tu es parti fouiner dans les terabytes de documents divers des differents serveurs de cloud...
    C'est dévalorisant !
    le 05/06/2013 à 16:52
  • dragonno
    Membre confirmé
    Ah je vois
    Merci de la précision, c'est une idée...
    le 05/06/2013 à 16:56
  Poster une réponse