Google hacking : et maintenant le code
Les outils de Google Hacking se perfectionnent chaque jour. Le dernier en date, et probablement le plus décrié, semble être le tout nouveau Google Code Search, usine à chercher des chaines syntaxiques précises dans les millions de lignes de code indexées par le moteur. José Nazario explique sur son blog dans quelle mesure cet outil est un superbe instrument de fuzzing. Il faut admettre que des millions de logiciels sont affectés par des défauts relativement cachés, dont la correction passe souvent dans la colonne des pertes et profits sous prétexte de rentabilité ou de prise en compte par les mécanismes de gestion de risque. L'exposition publique des dites failles augmentera-t-elle la menace ? Difficile à dire. On ne peut nier, d'un coté, l'extraordinaire pouvoir d'incitation que possède Google, surtout depuis qu'ont été publiés les premiers exploits de Johnny « I hack stuff » Long. Sous quelque forme que ce soit, Google est désormais considéré comme une arme entrant dans les panoplies de hacking. Au même titre qu'un tournevis entre dans celle d'un cambrioleur... ce n'est pas une raison pour interdire la vente des tournevis. N'oublions pas toutefois que des outils de recherche de code, certains même appartenant au monde Open Source, existent déjà depuis quelques temps. Ainsi Koders ou Krugle. Quelques usagers en font un usage répréhensible, d'autres s'en servent comme de n'importe quel autre utilitaire appartenant à un SDK. Alors, la consultation de Google Code Search, bientôt un surf réprimé par la LEN ?
