J'ai passé des années à fouiller les recoins les plus obscurs de Google. Pas pour le fun, non. Parce que c'est terrifiant ce qu'on peut trouver. Et je ne parle pas de vos photos de vacances, je parle de bases de données entières, de mots de passe, de fichiers confidentiels, accessibles à n'importe qui, sans piratage, sans logiciel, juste en tapant la bonne phrase dans Google.
Quand j'ai découvert ça il y a cinq ans, j'ai passé trois nuits blanches. Pas à faire des trucs illégaux — j'étais juste fasciné. Et un peu flippé. Donc laissez-moi vous raconter ce que j'ai appris.
Points clés à retenir
- Les Google Dorks ne sont que des opérateurs de recherche avancée combinés — aucune compétence technique requise.
- La même technique sert aux hackers ET aux experts en cybersécurité, tout dépend de l'intention.
- Taper une mauvaise requête dans Google peut exposer des données que vous n'auriez jamais dû voir. Et vous rendre complice.
- Google ne « cache » pas vraiment de sites secrets, mais des Easter Eggs oui.
- La protection contre le dorking est simple : ne rien exposer publiquement par erreur.
Google Dorks : c'est quoi exactement ? (et pourquoi ça m'a rendu parano)
La définition officielle, celle des Assises de la Cybersécurité, c'est : « des combinaisons de mots-clés reconnus par le moteur de recherche Google (des opérateurs de recherche avancés) ». Ça paraît technique et barbare. En vrai, c'est juste savoir parler à Google dans sa propre langue.
Google indexe tout. Absolument tout ce qui est public. Les pages web, les PDF, les fichiers Excel, les dossiers « backup » mal protégés, les fichiers de configuration, les bases de données SQL exposées. Et si vous savez lui demander correctement, Google vous les montre. C'est ça, le Google Dorking.
Le terme vient de « dork », idiot en anglais. À la base, c'était « l'idiot de chez Google » — puisque ça n'existe pas comme employé, ils ont recyclé le mot. Mignon, non ? Sauf que derrière cette blague de développeur se cache un outil de recherche redoutable.
Quand j'ai commencé, j'ai fait l'erreur classique : taper des trucs au hasard. Résultat ? J'ai atterri sur une page d'administration d'un site e-commerce, avec accès complet à la base clients. J'aurais pu télécharger des milliers de noms, emails, adresses. Je ne l'ai pas fait. Mais quelqu'un d'autre l'aurait fait.
Qu'est-ce que les Google Dorks ?
Ce sont des combinaisons d'opérateurs comme site:, filetype:, intitle:, inurl:, etc., assemblés pour trouver des données spécifiques. Par exemple : site:monsite.com filetype:xls mot de passe. Google vous retourne tous les fichiers Excel contenant « mot de passe » sur ce site. Terrifiant, non ? Les attaquants les utilisent pendant la phase de repérage d'une attaque, comme le dit le glossaire des Assises.
Les commandes Google Dorks que j'utilise (et que je déconseille aux débutants)
Il existe des dizaines d'opérateurs. Mais honnêtement, 90 % des recherches vraiment utiles se font avec une poignée d'entre eux. Voici les 5 que j'utilise le plus — et que j'ai testé sur mes propres projets.
| Opérateur | Fonction | Exemple concret |
|---|---|---|
site: | Limite les résultats à un domaine spécifique | site:gouv.fr filetype:pdf — tous les PDF du gouvernement |
filetype: | Cherche un type de fichier précis | filetype:sql — exports de bases de données |
intitle: | Recherche un mot dans le titre de la page | intitle:"index of" — dossiers ouverts sur le web |
inurl: | Recherche un mot dans l'URL | inurl:admin — pages d'administration |
intext: | Recherche un mot dans le contenu de la page | intext:"mot de passe" — pages contenant ce texte |
Petite astuce perso : combinez-les. site:monsite.com intitle:"confidentiel" filetype:pdf. Ça, c'est une vraie « dork » fonctionnelle. J'ai trouvé un jour les bilans financiers non publiés d'une entreprise du CAC 40 avec une requête similaire. Une erreur de staging déployée en production. Je les ai prévenus. Ils ne m'ont même pas répondu.
Quelles sont les commandes Google Dorks ?
Les opérateurs de recherche avancée. Ceux que Google met à disposition de tous. La différence ? Le commun des mortels cherche « recette de cake ». Le dorker cherche inurl:wp-config.php. Même outil, intention différente. Comme le dit Antoine Giannotta chez DataBird, « les Google Dorks exploitent les fonctionnalités de Google pour dénicher des informations cachées sur le web ». C'est exactement ça.
Les « sites secrets » de Google : spoiler, ça n'existe pas vraiment
Quand j'ai commencé, je cherchais « comment hacker Google avec des Dorks ». Erreur de débutant. Google ne cache pas de sites secrets comme des bases de données gouvernementales. Enfin, si, il en indexe, mais pas exprès. Ce sont des erreurs de configuration.
Par contre, Google a des Easter Eggs. Des petits programmes cachés, selon l'article de Studio Gazoline. Tapez « do a barrel roll » dans Google et votre écran fait un 360. Tapez tilt ou askew, la page s'incline. Tapez « atari breakout » dans Google Images, et vous jouez au casse-brique. Pas de données sensibles là-dedans, juste le fun des développeurs.
Ce que les gens appellent « sites secrets », c'est souvent juste des pages indexées par erreur. Google ne fait pas exprès de les montrer. Il indexe ce qui est public. Si c'est public, c'est trouvable.
Est-ce que Google collecte les données ?
Oui. Mais pas comme vous le pensez. Google collecte les données que vous lui donnez : vos recherches, votre localisation, vos clics. Mais il ne collecte PAS les bases de données privées des entreprises — à moins qu'elles soient exposées publiquement, auquel cas il les indexe. La question n'est pas « est-ce que Google collecte ? », mais « est-ce que vous laissez vos données à la vue de tous ? ».
Pourquoi le Google Dorking est dangereux (et pourquoi je l'utilise quand même)
J'ai mis du temps à comprendre. Au début, je trouvais ça génial. Je me sentais comme un hacker de film. Puis j'ai trouvé un fichier contenant des identifiants de connexion à un système de vidéosurveillance. 200 caméras accessibles. J'aurais pu voir ce qui se passait dans un entrepôt à 300 km de chez moi.
J'ai eu peur.
Le problème, c'est qu'une fois que vous savez, vous ne pouvez pas ne pas savoir. Et que vous n'avez aucun contrôle sur ce que vous allez trouver. Google ne vous avertit pas. Il vous montre.
Alors pourquoi je continue ? Parce que c'est aussi un outil de protection. Les experts en sécurité utilisent les Dorks pour auditer leurs propres systèmes. Pour trouver les fuites avant les hackers. Pour corriger les erreurs d'exposition. C'est une course contre la montre, et le dorking est un des meilleurs moyens de gagner.
Mon conseil : utilisez-le sur vos propres sites, jamais sur ceux des autres. Et si vous tombez sur quelque chose de sensible, signalez-le. Ne téléchargez pas. Ne partagez pas. Fermez l'onglet.
Comment se protéger du Google Dorking (ce que j'ai appris à mes dépens)
- Désindexez ce qui doit l'être. Utilisez un fichier
robots.txtpour empêcher Google d'indexer vos pages sensibles. - Ne mettez jamais de fichiers sensibles en accès public. Les exports de base de données, les fichiers de configuration, les sauvegardes, tout ça doit être derrière une authentification.
- Testez vous-même. Tapez
site:mon site.com filetype:sqlousite:mon site.com inurl:admin. Si vous trouvez quelque chose, c'est que quelqu'un d'autre peut le trouver aussi. - Surveillez. Il existe des outils qui scannent automatiquement votre périmètre pour détecter les expositions. Utilisez-les.
J'ai appris tout ça après avoir trouvé par hasard le code source complet d'un site de e-commerce avec les identifiants de la base de production. Un développeur avait oublié de protéger un dossier /backup/. J'aurais pu, techniquement, faire des dégâts. Je ne l'ai pas fait. Mais un autre aurait pu.
Et ça, franchement, ça m'a glacé le sang.
La frontière est fine entre exploration et violation
Le Google Dorking n'est pas un pouvoir magique. C'est juste un langage. Comme le SQL ou le HTML. Un outil. Ce qui compte, c'est ce que vous en faites.
J'ai passé des heures à apprendre ces combinaisons. J'ai trouvé des choses fascinantes — et des choses que j'aurais préféré ne jamais voir. Aujourd'hui, je l'utilise pour mes audits personnels, pour vérifier que mes propres sites ne fuient pas. Et ça marche.
Mais je n'oublie pas cette sensation, la première fois que j'ai vu une page d'administration ouverte, avec tous les champs de formulaire prêts à être modifiés. Un simple clic, un mot de passe que je ne connaissais pas... mais la porte était entrouverte.
Google ne vous donnera pas de super-pouvoirs. Il vous montrera juste ce que vous avez déjà exposé. La question, c'est : êtes-vous prêt à regarder ?