Protéger son site web du Google dorking (recherche de documents confidentiels)

Bonjour vous !

On se lève de notre lit, les yeux à peine ouverts on se dirige vers la machine à café et là on marche sur le cadeau que notre chat a régurgité de façon estomacale et avec amour pendant la nuit. On a fait 2 fois en 1 heure la confusion entre le tube de savon désinfectant pour nos pieds et le dentifrice. On va dans le garage pour prendre notre voiture et on s’aperçoit qu’on a pas de voiture et que c’est pas un garage mais le local à poubelles. Alors on décide de prendre les transports publics et là on se prend la porte du métro dans le visage (ou alors est-ce notre visage qui se prend pour un joint de porte de métro).

Donc on se fait ce cadeau d’une séance de yoga pour retrouver notre enfant intérieur et du calme. Et là on apprend par Gérard, l’expert en optimisation SEO qui vient faire ses steps à coté de nous pendant notre séance de communion avec l’univers, que Google affiche tous les fichiers privés de rapports des RH, aux yeux de tous, grâce au site internet qu’on a développé. Et voilà qu’on se voit décider de faire en sorte que maintenant, c’est le corps de Gérard qui va se prendre pour un tapis de Yoga. Et aussi que le Yoga qu’on pratique, ça va beaucoup plus ressembler à du Yoga où tu saute à pieds joints, en rythme, en chantant « We will, we will rock you ».

On peut penser que Gérard l’a bien cherché. Mais un problème de sécurité de Google qui est particulièrement connu par les passionnés du piratage de sites internet, c’est ce qu’on appelle la recherche par extension de fichier. Une personne peut demander à un moteur de recherche de lui ressortir tous les fichiers .docx par exemple sur un domaine précis.
Et là où ça devient inquiétant, c’est qu’une recherche de type « tous les fichiers .docx comprenant le mot confidentiel dans leurs contenus » est parfaitement possible ; il suffit alors d’une seule personne qui utilise mal un site internet pour engendrer des problèmes conséquents.

Voici des instructions Apache qui vont interdire la consultation des fichiers courants de documents, tels que MS Office, Libre Office, Open Office (à l’exception des fichiers .pdf):

Vous pouvez les placer à la fin du fichier .htaccess qui est dans le répertoire racine de votre hébergement, ou créer ce fichier si il n’existe pas encore.

#Traitement de texte
<FilesMatch "(.docx)|(.doc)|(.odt)|(.rtf)$">
 Require all denied 
</FilesMatch>
#Feuilles de calculs
<FilesMatch "(.ods)|(.xls)|(.xlsx)|(.csv)$">
 Require all denied 
</FilesMatch>
#Présentations (Power Point)
<FilesMatch "(.odp)|(.ppt)|(.pptx)$">
 Require all denied 
</FilesMatch>

 

Pour la petite explication,(.docx)|(.doc) signifie qu’on veut que .docx ou que .doc soient tous deux captés par le script, $signifie qu’ils doivent se situer à la fin du nom (et donc être des extensions de fichiers).

Et une astuce de plus qui j’espère sera utile pour vous, chers lecteurs ! N’hésitez pas à faire appel à Share Out en cas de besoin parce qu’ici on aime prendre soin de sites internet qui nous sont chers, optimiser et même créer pour vous un web qui vous ressemble.

Un site ou une boutique en ligne qui, sans en dire trop, exprimera de vous le meilleur.
Dans son contenu, il sera digne et il ira haut. Parce qu’on l’aime tous, votre enfant intérieur.