# Google Dorking : le moteur de recherche devient votre meilleur allié (ou votre pire cauchemar) J'ai passé trois ans à explorer les recoins les plus obscurs de Google. Pas pour faire du mal — je suis consultant en cybersécurité, pas un pirate. Mais franchement, la première fois que j'ai découvert ce qu'on pouvait trouver avec une simple requête Google, j'ai eu froid dans le dos. Un fichier Excel avec 15 000 mots de passe. Accessible en trois clics. Et tout ça grâce à une technique qu'on appelle le **Google Dorking**.

Points clés à retenir

  • Les Google Dorks sont des combinaisons d'opérateurs de recherche avancée qui permettent de trouver des informations que Google a indexées mais que leurs propriétaires croyaient cachées
  • Le terme "dorking" vient d'une blague de développeurs — "l'idiot de chez Google" — avant de devenir un outil sérieux de cybersécurité
  • Les opérateurs comme filetype:, intitle: et site: sont la base, mais c'est leur combinaison qui fait la différence
  • L'usage éthique du Dorking est essentiel : chercher n'est pas toujours légal, et encore moins moral
  • Se protéger contre le Dorking, c'est possible avec quelques configurations simples
  • D'autres moteurs comme Shodan ou Bing permettent des variantes tout aussi puissantes

C'est quoi, concrètement, le Google Dorking ?

Les Google Dorks — le terme officiel, si on peut dire — sont des combinaisons de mots-clés reconnus par le moteur de recherche Google. Des opérateurs de recherche avancés, en langage technique. L'objectif ? Affiner les critères de recherche pour trouver ce qui ne devrait pas être trouvé. J'ai découvert ça par hasard en 2020. Je cherchais un vieux rapport technique pour un client, et j'ai tapé `filetype:pdf confidential`. Résultat : 47 documents internes d'entreprises, dont 12 avec des données bancaires visibles. Je vous jure que je ne les ai pas téléchargés. Mais j'aurais pu. La définition officielle des Assises de la Cybersécurité le dit clairement : ces combinaisons sont "notamment très populaires chez les attaquants durant la phase de repérage d'une attaque". Un exemple typique : trouver tout document Excel contenant le terme "mot de passe", dont le titre contient "confidentiel" et issu d'une entreprise précise. Ça donne une requête comme : `filetype:xls intitle:confidentiel "mot de passe" site:entreprise.com` Et voilà. En une seconde, vous avez la liste des fichiers sensibles.

Attends… "dork" ça veut dire quoi, déjà ?

Le mot "dork" signifie "idiot" en anglais. À l'origine, le Google Dork était "l'idiot de chez Google" — une blague entre développeurs. Mais puisque ce personnage n'existe pas dans l'entreprise, il a fallu recycler le terme. Comme quoi, même les geeks ont le sens de l'humour. Bon, si vous cherchez "dorking" dans le dictionnaire Larousse, vous tomberez sur une race de poules d'origine anglaise. Pas très utile pour la cybersécurité. Mais c'est amusant à savoir pour briller en société.

Les 5 opérateurs Google Dorks que tout le monde devrait connaître

Quand j'ai commencé à former des équipes de sécurité, je leur montrais toujours les mêmes bases. Parce que c'est là que tout commence.

1. filetype: — le chasseur de documents

L'opérateur le plus puissant, à mon avis. Il permet de chercher des fichiers par extension. PDF, XLS, DOC, CSV, même des fichiers de configuration comme `.env` ou `.sql`. Exemple concret : `filetype:pdf "mot de passe"` vous sort des milliers de PDF contenant ce terme. Et croyez-moi, la plupart sont des documents professionnels.

2. intitle: — le fouineur de titres

Il cherche dans le titre de la page. Utile pour trouver des pages d'administration, des portails de connexion ou des documents dont le titre laisse peu de doutes. `intitle:"index of"` est un classique. Ça liste les serveurs qui affichent leurs répertoires sans protection. J'en ai trouvé un avec 15 Go de sauvegardes de base de données.

3. site: — le sniper

Il restreint les résultats à un domaine précis. Indispensable pour cibler une entreprise. `site:gouvernement.fr filetype:xls` vous donne tous les fichiers Excel du gouvernement français indexés. La plupart sont publics, certains… moins.

4. inurl: — le détective d'URL

Cherche un mot dans l'URL. Utile pour trouver des pages d'administration (`inurl:admin`), des scripts (`inurl:php?id=`) ou des pages de connexion.

5. Les combinaisons — là où la magie opère

Le vrai pouvoir du Dorking, c'est la combinaison. Un seul opérateur donne des résultats. Trois ensemble peuvent révéler des failles critiques. `intitle:"webcam" inurl:"axis.cgi"` — testez ça, vous trouverez des caméras IP accessibles sans mot de passe. Je l'ai fait devant un client. Il a blêmi.

3 exemples de Google Dorks qui m'ont fait peur (pour de vrai)

Je ne vais pas vous donner les chaînes exactes qui pourraient causer des dégâts. Mais je peux vous raconter ce que j'ai trouvé. **Exemple n°1 : les bases de données exposées** Un jour, je cherchais des fichiers SQL pour un projet perso. J'ai tapé `filetype:sql "INSERT INTO" "password"`. Résultat : 127 bases de données avec des mots de passe en clair. Certaines appartenaient à des sites e-commerce que vous connaissez peut-être. **Exemple n°2 : les fichiers de configuration** `filetype:env DB_PASSWORD` — ça donne les fichiers d'environnement des applications web. Je suis tombé sur celui d'une startup qui hébergeait ses données clients sur un serveur mal configuré. 50 000 comptes. J'ai contacté leur CTO. Il ne m'a pas cru. J'ai dû lui envoyer une capture d'écran. **Exemple n°3 : les documents internes** `intitle:"confidentiel" filetype:pdf site:fr` — ça donne une liste interminable de documents que personne n'aurait dû voir. Des budgets, des stratégies marketing, des fiches de paie. La plupart sont encore indexés aujourd'hui.

Comment se protéger ? Ce que j'ai appris à mes dépens

J'ai fait l'erreur, au début, de penser que mon site était à l'abri. J'avais un blog tout simple, rien de sensible. Puis j'ai lancé un Google Dork sur mon propre domaine. Franchement, j'ai déchanté. Un fichier de configuration de plugin WordPress, un répertoire d'uploads ouvert, et une sauvegarde de base de données datant de deux ans. Tout ça accessible. Tout ça indexé. Depuis, j'applique trois règles : 1. **Fichier `robots.txt` bien configuré** — mais attention, il ne cache pas les données, il empêche juste l'indexation. Un attaquant peut quand même taper l'URL directement. 2. **En-têtes HTTP de sécurité** — `X-Robots-Tag: noindex` pour les fichiers sensibles, `X-Content-Type-Options: nosniff` et `Referrer-Policy: no-referrer`. 3. **Restriction d'accès** — les répertoires sensibles doivent être protégés par mot de passe HTTP ou IP whitelist. Et surtout : **auditez régulièrement votre site avec des Google Dorks**. Tapez `site:votredisnom.fr` et regardez ce que Google a indexé. Vous serez surpris.

Et si Google ne suffit pas ? Shodan, Bing et compagnie

Google, c'est bien. Mais pour certaines recherches, il faut aller voir ailleurs. **Shodan** est le moteur de recherche des objets connectés. Tapez `port:22` et vous trouvez des serveurs SSH exposés. `port:3389` pour des bureaux Windows à distance. C'est terrifiant et fascinant à la fois. **Bing** a ses propres opérateurs : `ip:` pour chercher par adresse IP, `contains:` pour les fichiers contenant un mot précis. Moins connu, donc parfois plus efficace. **DuckDuckGo** respecte la vie privée, mais ses capacités de Dorking sont limitées. Pas assez de filtres pour être vraiment utile. Shodan reste mon outil préféré pour les audits professionnels. Mais Google, avec sa simplicité, reste le point d'entrée de 90% des attaquants.

Attention : ce que vous risquez si vous abusez

Je ne vais pas vous faire la morale. Mais juridiquement, la frontière est fine entre une recherche autorisée et une intrusion. En France, la **loi Godfrain** (article 323-1 du Code pénal) punit "l'accès frauduleux à un système de traitement automatisé de données". Si vous trouvez un fichier sensible et que vous le téléchargez, vous pouvez être poursuivi. Même si le fichier était accessible sans mot de passe. Le RGPD ajoute une couche : si vous collectez des données personnelles sans autorisation, c'est une amende pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel. Mon conseil : **restez dans le cadre légal**. Utilisez ces techniques pour tester vos propres systèmes, ou avec une autorisation écrite. Ne touchez pas à ce que vous n'avez pas le droit de voir.

Alors, le Google Dorking, un outil ou une menace ?

Les deux. Comme un couteau, ça dépend qui le tient. Pour un consultant en sécurité, c'est un outil formidable pour identifier les failles avant les pirates. Pour un administrateur réseau, c'est un moyen de vérifier que son infrastructure n'est pas exposée. Pour un curieux mal intentionné, c'est une porte ouverte sur des données qu'il ne devrait pas voir. J'ai vu des entreprises investir des milliers d'euros dans des pare-feux sophistiqués, tout en laissant leurs fichiers sensibles indexés par Google. C'est absurde. Et pourtant, c'est la réalité. Alors, la prochaine fois que vous chercherez quelque chose sur Google, posez-vous la question : qu'est-ce que Google sait de vous que vous ne voulez pas qu'il sache ? Et surtout, qu'est-ce que n'importe qui peut trouver en trois requêtes ? Parce que c'est ça, le vrai pouvoir du Google Dorking. Pas de casser des mots de passe. Pas d'exploiter des failles. Juste chercher ce qui est déjà là, sous nos yeux, et que personne ne regarde.