L'idée n'est certainement pas nouvelle, mais c'est la première fois que nous la voyons illustrée par un exemple. La société Securi rapporte qu'elle vient elle-même de découvrir une nouvelle tactique de hackers, qui se servent des robots d'indexation de Google pour masquer leurs tentatives d'attaques par injection SQL.

Le principe est simple. Souvent, le hacker qui recherche des failles sur un site internet va utiliser sa propre connexion et passer par des proxys pour masquer avec plus ou moins de succès son adresse IP. Mais il prend alors le risque que les traces de ses méfaits soient remontées jusqu'à lui, en cas d'enquête consécutive à une plainte déposée par le site victime d'une injection SQL. L'idée est donc de faire faire le sale boulot par Google.

Plutôt que de lancer lui-même des requêtes sur le site web visé, le hacker se contente de créer sur son site internet un lien comportant la requête SQL à tester. Il attend alors que les robots d'indexation de Google passent sur son site et qu'ils suivent les liens hypertextes malicieux. Lorsque la victime regarde ses logs Apache et constate une tentative d'injection SQL, c'est GoogleBot qui apparaît. Par exemple :

66.249.66.138 – – [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q % 20varchar(8000(%20select%20@q%20=%200×527%20exec(@q)%20– HTTP/1.1" 403 4439 "-" "Mozilla/5.0 (compatible ; Googlebot/2.1 ; +http://www.google.com/bot.html)

Bien sûr, une enquête permettrait sans doute de retrouver l'origine du lien à indexer, et d'incriminer le hacker. A condition qu'il ait publié ce lien sur son propre site internet, ce qui serait idiot, et non de façon plus discrète dans les commentaires d'un blog ou au coeur d'un message d'un forum. Cette dernière méthode présente d'ailleurs un avantage supplémentaire, puisque plus un site est populaire, plus les robots de Google reviennent fréquemment l'indexer, parfois plusieurs fois par jour.

Partager sur les réseaux sociaux

Articles liés