Le "mode espion" de Google que personne ne connaît
HTML-код
- Опубликовано: 27 сен 2024
- faites vraiment attention quand vous utilisez ça
Merci à O2switch d'avoir sponsorisé la vidéo ! Je vous laisse découvrir leur offre ici : www.o2switch.f...
(et vous avez -15 % avec le code M15)
👀 À ne pas manquer, elle rend fou les arnaqueurs Tiktok : • Elle rend fou les arna...
👀 "L'arnaque aux pervers" sur Tiktok : • Comment des hackers on...
Merci à Marc-Antoine Ledieu pour son aide, avocat spécialisé dans le droit du numérique
Pas du tout obligé mais si vous vous abonnez ça m'aide vraiment 🙏 : bit.ly/3xqS2pi
🎥 Suivez l'émission en direct: / micode (c'est 1 mercredi sur 2 à 19h)
🎙 Toute l'émission en podcast, sur votre plateforme préférée: underscore.to
📸 Les coulisses de l'émission: / underscoretalk
🐦 Les annonces de dernière minute: / underscoretalk
En plateau il y a Tiffany Souterre et Matthieu Lambda de la Micorp !
Le Google Dork, c'est aussi super utile professionnellement, quand on recherche une norme :
Dans mon milieu où les normes sont payantes et leur extract n'est pas toujours explicite, le filetype:pdf intext:"NOM DE LA NORME", qui renvoie presque systématiquement sur des serveurs chinois mal configurés, c'est très pratique.
À coupler avec chat gpt pour lister les normes dans le domaine que je recherche (ex : normes en relation avec l'électronique dans le médical) : le gain de temps est fou.
bien vu, mais si tu as un audit sur un produit commercialisé tu risques cher
Attention!
De tête, il n’y a rien qui protège le rapporteur lorsqu’il découvre une vulnérabilité. La société en question est en droit d’attaquer la personne et gagnera très probablement, même si cette personne ne divulgue pas à un tier ou passe par une autorité.
Un framework au niveau UE semble prévu à cet effet et uniquement les Pays-bas sont en avance sur le sujet.
Infos à vérifier
J'ai notamment en tête le cas d'un hackeur étique en Hongrie qui s'est fait attaquer en justice part T-online, après qu'il lui ai signalé des failles de sécurité.
Article 40 Code de procédure pénale - abrégé
Toute autorité qui dans l'exercice de ses fonctions, acquiert la connaissance d'un délit est tenu d'en donner avis au procureur de la République et de lui transmettre tous les renseignements qui y sont relatifs
Article 47 de la Loi République numérique - abrégé
l'obligation prévue à l'article 40 du code de procédure pénale n'est pas applicable à l'égard d'une personne de bonne foi qui transmet à l'ANSSI une information sur l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données.
donc en théorie tant que tu ne fait que Découvrir le vulnérabilité (sans essayer à faire autre chose genre test pour voir ce que permet de faire la vulnérabilité)
tu est protéger par la loi
ANSSI, déclaration de vulnérabilité en gardant ton anonymat.
@@Erloys6007 est-ce que la bonne foi est réellement appliquée ? Personnellement j'ai trouvé des mots de passe sur github puis j'en ai informé les concernés, rien ne m'est arrivé à part des "merci", mais j'imagine bien le cas où tu tombes sur la mauvaise personne qui est déjà de mauvaise humeur et qui veut te pourrir es-tu réellement protégé quelles sont les preuves de ton côté qui pourraient permettre de savoir si tu n’as pas exploité les données plus loin, en gros comment avertir les victimes tout en se protégeant, car pas mal sont tentés de se dire "si je risque de me faire attaquer dans les deux cas autant revendre les infos donc"... (paroles entendues d'un ami grey hat.. perso je le trouve plus black d'autre chose mais bon osef)
Il y a eu des cas en France où c'est l'entreprise qui a perdu (comme Tati par exemple). Mais ces cas sont rares, il s'agit de cas principalement où la faille est accessible à tout le monde sans chercher à l'obtenir (si tu peux montrer que n'importe quel lambda aurait pu tomber sur les données personnelles d'un site, par exemple, en théorie tu n'es pas en tort. (En revanche si tu les télécharges forcément là c'est du vol)
En tous cas cas c'est bien pratique ces recherches avancées, je m'en sert souvent car Google est plus performant que les moteurs de recherches intégrés des sites, on y gagne en rapidité.
Je me sers principalement du nom de domaine (site), de l'extension (pdf par exemple) et de la date : "after:YYYY-MM-DD" (YYYY : Année sur 4 chiffres, MM: Mois sur 2 chiffres, DD: Jour sur 2 chiffres). Ca évite d'avoir des milliers de résultats et la garantie de ne pas déterrer un truc de +de 10ans.
Vous n'en avez pas parlé dans la vidéo mais il y a parfois des drives complets en accès libre de plusieurs To (seedbox, nas etc).
Bref, c'est un outil puissant mais il faut savoir en faire un bon usage encore une fois. Merci pour cette vidéo
et comment trouver ces drives en question?
J'ai souvenir d'un agent de la DGSI en intervention en cours qui nous expliquait tout ça
Sinon, mon utilisation habituelle : retrouver un article d'un blog en particulier ou bien avoir des images d'une certaine taille
Merci pour la video ! Pour le sponsor o2switch il est super mais obligé de rappeler au gens que non cest loin d'etre illimité, ils limitent le nombre de processus simultannée ce qui peut vite bloqué quand on depasse le petit site e-commerce ou autre, sinon ils ont une offre très bien niveau qualité prix, mais voilà c'est vraiment loin d'etre des performances de fou, il y a meme certains plugins sur wordpress de backups qui ne fonctionneront pas a cause de la limite de processus
ça fait peur de se dire que n'importe quel pélo peut extraire autant en 2 commandes google de n'importe quel site ou presque. Merci les gars pour la prise de conscience et l'info !
Si il décide de les utiliser ça serait illégal
Tout ça montre une chose, l'école n'a jamais eu pour but d'éduquer à l’informatique / internet, mais juste de fabriquer des futurs consommateurs... Et après on s'étonne des conséquences... Pour ça que je conseil à beaucoup, les vidéos conférences de Benjamin Bayart, de la Quadrature du Net et de Thinkerview... Sur ce sujet... Sans oublier, histoire de se mettre dans l bain... le documentaire "Une contre histoire de l'internet".
Vu tout l argent qui est mis dedans, c'est un domaine qui a aucun pb de financement
Incroyable! Y a t-il un site ou un Tuto où on peut se former à la recherche en "mode espion"? Connaître les champs spécifiques à écrire, etc. Ca m'intéresserait pour faire de la prospection (pas pour espionner ou chercher quoique ce soit d'illégal évidemment) :)
yo ! je reponds pour etre notifier en cas de réponse
@@mat3387 De même !
j'attend moi aussi !
Recherche justement à l'aide des champs qu'ils nous donnent dans la vidéo, il y a énormément de contenu !
La leçon est toujours la même : Sur Linkedin tu ne t'inscrira pas
Mais c'est juste giga intéressant !
Pour bon nombres de vidéos je les regarde un peu en fond et sans y trouver d'utilisations concrètes mais ici comme pour le chat gpt ce sont vraiment de supers découvertes !
Ça peut être servi pour voler des cartes bancaires et des comptes donc c'est vraiment pas bien 😂
@@fire6957 Je suis apprentis développeur web donc c'est très utile pour rechercher des documentations et des erreurs sur mon code
y'a quelques années, j'ai contacté un de mes distributeurs sécurité IT français que toute sa facturation cliente était accessible en direct sur le web... ca a été patché dans la demi-heure.
Vous devriez faire un tuto sur comment vérifier ce qu’il traine sur internet avec notre nom.
Ça serait super intéressant
Même méthode que celle dans la vidéo mais tu met ton nom dans les filtres, justement il en parle, c'est intéressant pour la E-réputation
comment ont y accède
@@lokomoon33
Vous avez changé de caméra pour filmer vos émissions? ou c'est un soucis de qualité d'image? on dirait que y a eu un post-process avec des filtres, tout est lissé, ça fait trop bizarre mais ça m'empeche pas d'adorer vos émissions
C'est du fond vert.
Une petite précision me semble nécessaire, lorsque l'on navigue sur internet et qu'une information s'affiche sur votre écran et bien cette information est déjà téléchargée sur votre ordinateur. vous le saviez bien entendu, mais cela ne me paraissait pas super clair dans vos explications.
je pense qu il faut etre pro pour te suivre mais j'avoue que même si c'est compliqué pour moi, ton enthousiasme est stimulant, et je regarde quand bien même je suis à la traine. tu fais vraiment un super travail
3:48 "Tien, est-ce que j'ai vraiment le droit d'y être..?" Le bot Google y est allé lui, toutes les pages sont sur ses serveurs ! La justice française compte punir Google d'être entré là où il n'aurait pas dû ?
Techniquement, si google est "rentré là où il n'aurait pas du", c'est que les développeurs du site n'ont pas bien défini "là où google n'aurait pas pu rentrer" dans le fichier robots.txt.
En gros, tous les jours, les éboueurs passent ramasser tes poubelles.
Ce n'est pas de leur faute si tu as considéré que ta poubelle, communément admise comme étant faite pour jeter des trucs, était un espace de stockage et de rangement...
@@bobmauranne6829 Je suis bien d'accord, il aurait fallu en toucher 2 mots au juge qui condamné le type. Mais bon, puisqu'il y a une jurisprudence, l'État a peut-être du blé à se faire ?
oui je sais, ça n'arrivera pas
C'est effrayant et fascinant en même temps 😂
C'est fou la simplicité avec laquelle tu peux trouver des choses dont tu ne devrais pas...
Je n'aurai pas penser qu'on pourrait les utiliser comme ça !! Je connaissais ses méthodes mais pas toutes ses utilisations ! 🔥🔥👍
Petite précision : l'opérateur intext ne sert à rien, il suffit de taper tout simplement le mot clé. Et l'opérateur filetype: peut être remplacé par ext:
Parfois une simple recherche permet de contourner un accès réservé ou un abonnement...
Le MIME type et l'extension sont 2 choses différentes
@@counterleo Non c'est la même chose ext:pdf et filetype:pdf sont équivalents
2:28 J'attend encore le procès contre OpenAI, microsoft, apple, huggingface et cie.
Bordel cimer chef qui a deja mis le timestamp SponsorBlock en moins 3 de minutes
Comment c'est possible de le faire ?
Incroyable en vrai
@@fiudad ça doit être une extension non?
@@lacartevitale oui
@@TheRealUsername ok oui j'ai bien RUclips Vanced qui bloque aussi mes pubs sur Android mais je ne savais pas que y avait une extension pour Chrome sur pc!
Super vidéo !
Il s'est passé quoi a 5:33 il y a une frame qui bug ?
ouais pareil je voulais voir ce que c'est mais rien de fou
L'analogie avec les maisons aux entrées défendues ne me va pas. Ok la porte est ouverte et je n'ai pas droit d'y entrer j'y vais c'est un fait. Sauf que celui qui m'a montré le chemin c'est Google donc il est complice. Pourquoi c'est moi qui doit prendre ?
ils font ca dans un but informatif mais c'est sur qu'il y aura des gens qui vont l'utiliser avec de mauvaise intention
Ça fait des années qu'on en parle, hein. En 2005, y-avait un article entier dessus sur le magazine PC-Pirate par exemple.
@@buddysdz mais ça avait autant de visibilité que underscore?
De toute façon, on ne fait pas de sécurité par l'obscurité, ça ne marche pas car l'information irait plus vite parmi les personnes mal intentionnées.
Il faut savoir que l'information touchera aussi les personnes concernées et que démocratiser ces sujets n'est jamais mal.
De plus, Underscore n'est pas tellement regardé comparé à la communauté des nerds, je pense.
Enfin, je comprends ce que tu penses, j'ai eu la même réaction.
@@antoninfr9974 chez les pirates, oui si ce n'est plus, PC-Pirate était une ref dans le milieu. Dans le grand public, non, aucune visibilité.
Et entièrement d'accord avec AbelleMatheux
Les petits debugs symfony activés en prod, un vrai plaisir.
aussi la possibilité de télécharger n'importe quel logiciel sur des serveurs sans passer par les page web
petit couac de montage à 5:34 haha
sinon super vidéo, ça m'intéresse beaucoup notamment pour faire des recherches pour mes études (Si je ne suis pas censé accéder à un cours mais que j'y accède quand même sans le partager je suis dans mon droit !)
jai replay 10x pour revoir mdr un peu le seum
@@maelgicquel7240 mdrrr fallait mettre en x0.25 c'est 4 fois plus facile 😂
Toute en joie de chercher une image subliminale, et finalement ce n'est qu'une boulette ... Enfin peut-être pas ? 😈
@@mazagotlea9003 Pareil
C'était déjà expliqué des magazines "pc pirate" cette technique en...2005
Ça reste intéressant de faire connaître la technique.
je trouve ca bizare que vous apprenez pas ca a l'ecole en france . en irlande on apprends ca au college . ca aide de fou pour les etudes
@@myname-mz3lo la recherche avancée ? On apprend ça aussi
@@myname-mz3lo La documentaliste du CDI nous avait fait une leçon dessus en 2005 donc a priori c'est enseigné :)
@@myname-mz3lo on apprend la recherche avancée, mais que la base utile tout les jours ! comme les "text" ou -text par exemple
@@ingvildnilsen3883 simplement des veilles désormais, et on approfondi ça à la fac, mais ça reste s'abonner à des newsletters
12:40 mdr ça me rapelles un disque trouvé sur leboncoin ça
La recherche avancée j’adore c’est tellement utile
C'est surtout grâce aux dorks qu'on retrouve les sites wordpress qui utilisent les thèmes et plugins nulled sur lesquels ont a crée des backdoors, pensez donc à supprimer sur vos wordpress tous les affichages de données de plugins et themes dans le code source ;)
j'utilisais ca a l'air du divX, je me souviens encore tres bien. tu tapais un nom de film ou de jeu un peu connu, et tu te retrouvais sur le ftp des gens, tu trouvais pleins de trucs en telechargement direct, sans avoir a passer par le torrent
télécharger n'est pas du vol, c'est de la contrefaçon. Le vol implique que l'original ne soit plus disponible. Télécharger, c'est faire une copie de l'original.
Le décor de tournage est incroyable ! C’est quel type de fond vert et logiciel ?
Est ce que quelqu'un sait si cette méthode de recherche permet de by pass le "filtre Google"?
Je m'explique : Google est une société américaine qui s'amuse à censurer des sites douteux, et plus récemment des sites qui ne sont pas en accord avec sa façon de penser. Les résultats d'une recherche sur duck duck go seront très différent par exemple.
Est ce que les recherches avancées permettent donc de bousculer l'algorithme de sélection et mise en avant ?
J'ai pas mal utilisé les dorks, j'ai trouvé :
- une liste d'élèves d'un collège avec infos persos des enfants et des parents
- des .env avec des mots de passe de mail et autre
- des api ouvertes notamment du site des gestions de tous les documents du Togo (récupération de toutes les cartes d'identité, passport, etc.), la plus grosse assurance pour les chasseurs, une auto école avec pièces d'identité des élèves
- des fichiers d'identification Firebase...
C'est génial :')
des astuces a me donner ?
Tu parles du Togo mon pays ?
Super intéressante comme vidéo ! Merci !
Ramasser un bout d'papier par terre serait illégal ? La bonne blague
Tous les arnaqueurs francos de la planète doivent vous suivre avec grande assiduité
Ma seule question a vie, stp répondez moi, quelle serait la phrase de recherche pour trouver toute les bons sites de streaming gratuit
Ca fait penser au scrapping. Or aux USA le scrapping a été jugé légal.
j'ai fais quelques recherches je suis tombé sur des numéros de tel et tout c'est abusé
À 5:43 y’a un bug de montage sur une frame… Voilà.
Sinon, très bonne vidéo, comme toujours !
Malheureusement, je ne vous conseille pas d’avertir des entreprises si vous trouvez quelque chose de privé ou confidentiel. Je vous conseille de rester anonyme si vous voulez les avertir. Mais je pense que les problèmes de réputation sont trop importants pour qu’ils disent simplement merci. Ils voudront savoir comment vous avez « vu » les documents ou autres informations confidentielles etc.. D’où beaucoup trop de risques pour vous, même en tant que chercheur. Au moins, c’est comme ça aux USA.
Même en x0.25 j'arrive pas à m'arrêter pile au bon moment sur le téléphoneeeeeee
Il y a quelques années . Beaucoup de gens se servaient de serveurs gratuit free comme sauvegarde de données . J'y ai déjà trouvé des dinguerie
Waaaa, les recherches avancées, ça me rappelle les vieux cours de SI10...
Les "opérateurs de recherche Google" connus mais parfois sous-estimés
les brouteurs vous remercie :)
Le fond vert mal découpé x)
ça fait 20 ans que j'utilise ces techniques, ce n'est pas nouveau pour que personne ne le connaissent😏😏😏
"que personne ne connaît" Les jeunes qui réinventent la roue 😂
8:59 taper notre nom entrecôte ? C’est pour Mme ou M. Entrecôte ? 😆
Il y a un mot français pour quote c'est fou ça s'appelle des guillemets. Il y a même une expression qui dit "entre guillemets"
n'empêche ça m'a donné envie d'utiliser ça pour de l'électronique (les techniques de recherche google utilisées. juste voir à quel point c'est puissant.
tapez:
filetype:pdf intext:"COMPOSANT" datasheet
si vous remplacez COMPOSANT par le nom que vous avez sous les yeux, par exemple un g6b-2114p-us (un relais) ça fonctionne.
on a bien la description technique du composant g6b-2114p-us (ce fameux relais).
Il mange quoi dans cette video (voir celle sur les extensions google en rapport avec Chat GPT).
Dans une semaine on vas voir l’hashtag libérez mocode 🤣
C'est qui mocode?
Est-ce qu'on a le droit d'utiliser ces techniques pour voir si nos propres infos à nous ont été leak ? Sinon superbe vidéo :D
Oui oui je pense qu’on peut utiliser le dorking pour rechercher nos infos personnel , puisque c’est à proposé de toi ta le droit que trouver tes infos. Par contre tu le sais grâce à cette vidéo , ps de téléchargement
Tu peux tout à fait le faire, oui. Je te conseil même vivement ! Panda' a tout dit.
J'ai pas compris la fonction de "intext:". Google me trouve régulièrement des PDF sans ça
Prévenir une entreprise ou une administration d'une faille n'est pas forcément une bonne idée. En guise de récompense tu peux te retrouver avec un coup de pression plus ou moins désagréable afin de te dissuader de casser leur réputation.
Généralement, c'est un peu le prétexte qu'utilisent les pirates pour redorer leur image chez le public. Ce qui fait que toute personne qui prévient un organisme quelconque d'une faille de sécurité est assimilé automatiquement à un pirate informatique.
C'est un peu comme l'histoire du dev tornado cash, il est en prison pour avoir coder .. c'est comme mettre en prison le/la chef d"une usine qui fabrique des couteaux si quelqu'un a utilisé son produit pour faire du mal
J’ai pas tout compris au départ j’ai regarder voir je suis vite parti 😂 je n’irai plus jamais ça fait peur 😮
J'ai cru qu'y avait un message caché a 5:33 j'ai été deçu
Tellement intéressant et bien fait
-inurl:(htm|html| php) intitle:"index of" +"last modified" +"parent directory" +description +size +(jpeg|bmp|png) "nude"
"est ce que j'ai vraiment le droit d'y être ?"
mais comment on le sait ça si c'est indiqué nul part que c'est pas un endroit autorisé mais qu'on peut y accéder quand même ?
Étant passionné de géographie, j'ai eu l'idée de recenser le site du gouvernement de chacun des pays du monde... (j'ai du temps à perdre), et la recherche par nom de domaine pour chaque identifiant des pays du monde - il existe des pages qui le recense tous - (par exemple "site:.it") m'a beaucoup aidé
"le site du MIT" c'est certain que ça fait plus classe que scratch
Je me servais de commandes similaires pour accéder à des données sismiques, c'est assez puissant !
j'avais appris le cheat code du *index of* en cours d'informatique.
Est-ce que tous les documents Google Drive partagés avec un lien peuvent être trouvé avec ce moyen?
T’as qu’as essayer
Le pull média, au top ta chronique Matthieu
Vous êtes chaud les gars..... Excellent !
Ça fait longtemps que underscore n'avait pas été aussi intéressant
Ce qui me rassure un peu c'est la recherche de documents confidentiels donne 30 résultats contre 12400 (au 10.01.23 a 2h du matin soit environ 6h après la mise en ligne de la vidéo)
Belle réactivité tardive 👍
10/01/2023 tu veux dire
@@powerseeker oui tout a fait ,merci pour la remarque je vais rectifier de ce pas
9:30 => Heureusement, cela ne marche pas pour les infos classifiées CONFIDENTIEL DEFENSE :)
5:34 Sympa
Mais qui utilise encore Google, il y a chatGPT maintenant ! 😂 enfin bientôt !
hello. t'avais fais une video aussi sur dork et Linkedin, je la retoruve plus ? si qq un l'a ca m arrangerai bin beaucoup svp ?
quiid de l'effet dopler ? est-ce pris en compte dans l'interdictionn ? (car concretement le wifi c'est parei, fauit éviter l'overlaps, mais en pratique t'as 40 wifi dans les même 100m², 12 sur les mêmes bandes, et aucun soucis au final, donc l'overlaps se traite, electroniquement. Ou pas electroniiquement. (enn fait, comment ?)
donc je me dis, si en pratique dans des dimensions si faible que celle de la portée du wifi, osef. Alors pourquoi en avion ça importe ? (le coup de la rage aérienne, pourquoi pas^^)
Début de vidéo j'suis déjà en folie !
jai eu acess a un fichier secret defense
après avec les bases cve on peut faire des bot qui recherche les sites qui on la faille... c'est connu depuis longtemps...
5:34 :
Micode essaierait-il de nos faire passer du subliminal ????
T'avais un dork à un moment, je ne sais pas si ça fonctionne encore, par lequel tu pouvais te connecter à des réseaux de caméras de surveillance municipaux...
ET SI ON PRENDS EN PHOTO LES PAGES
Je ne comprends pas pourquoi vous êtes passés au fond vert au lieu du décor réel, mais en plus de rendre l'ambiance totalement fake, c'est visuellement juste absolument dégueulasse...
Un exemple parmi d'autres : 1:01, les lunettes qui disparaissent
c'est pourquoi l'image subliminale a 5.33
Super mais que faire quang Chat GPT ne parvient pas a fournir une réponse complète si celle-ci est trop longue ???
Tu lui demandes d'écrire la suite
Salut,
Je voulais si tu pouvais m’envoyer le lien de la vidéo où tu parles de DuckDuckGo car je ne la retrouve plus stp Merci
8:09 je reconnait le second c'est un filterscript pour du GTA mdrrr
2:39 Mais elle est complètement chtarbée cette jurisprudence ! 😮
On n'accède jamais à aucune donnée en HTTP sans la télécharger de toute façon. Ce n'est pas parce le téléchargement n'est pas présenté par l'OS sous forme d'un fichier autonome et permanent qu'il n'y a pas téléchargement au sens de charger des données en mémoire via le réseau. Elle ne pourraient jamais s'afficher à l'écran si elles n'étaient pas là, les données, de toute façon.
"si tu accèdes à la donnée sans la télécharger"... et bien c'est dans une réalité alternative ou bien c'est du paranormal.
Video très enrichissante
Jai trouver certain site avec des défense de secret nationale !!! comment sa se fait que sa se retrouve sur google !!! jose meme pas ouvrir la page mdr ...
comment on y accède
Si c'est confidentiel,*QU'EST CE QUE SA FAIT SUR LE WEB*🤦
je savais ça depuis 15 ans.
ça ..ait intere... s'il sav... par..er
Bonjour Underscore , pourriez vérifier si vous trouvez des dossiers médical lié aux transferts de donnée avec notre nouveau carnet de santé numérique ? Juste pour savoir si nos données personnel sont en « open source » . Merci beaucoup pour votre travail
Ba tu peux pas le faire toi mdr ? T as accès a internet et gogle nn ?
@@gag2895 je suis sur d’une chose , c’est qu’ils sont bien meilleur que moi donc sur ce fait je pense que même si je ne trouve pas , ils pourront faire mieux que moi . Je n’ai pas besoin de vous pour savoir si je suis capable de faire ou pas mais n’empêche qu’ils feront mieux donc je demande de l’aide pour acquérir peut être de nouvelles connaissances. Vous avez peut être aussi besoin d’acquérir des compétences et si je vous donnes mon avis certainement bien plus que moi .
@@paulrobert3959 c est littéralement une recherche google, reregarde la vidéo, copie/colle la syntaxe et utilise les mots dont t as besoin, je suis sur que tu peux le faire