Notre confrère Jean-Marc Manach a publié un billet sur le blog BugBrother, à lire sur le Monde. Il rappelle, à partir d’un tweet de Fred Raynal, comment il est facile de trouver des documents confidentiels sur Google.
Il suffit de tapoter "ne pas diffuser" site:gouv.fr filetype:pdf sur Google pour recevoir quantités de liens diffusant des fichiers PDF que chaque administration ne voulait pas diffuser. L’exercice peut être reproduit avec l’expression "diffusion restreinte" site:gouv.fr filetype:pdf et autres synonymes de secrets...
Pour notre part, nous avons testé cette formule sur le site du ministère de la Culture ("ne pas diffuser" site:culture.gouv.fr filetype:pdf). Nous sommes spécialement tombés sur un document intitulé « Muséo Stat » de 2009 distillant les statistiques de fréquentation des musées en France. Ce PDF n’est pas lui-même en diffusion restreinte mais certaines parties de ses nombreux tableaux le sont bien, comme on peut le voir sur cette capture :
Alors ? C’est ici un double combo : vérification faite, il est très simple de découvrir les mentions occultées à l’aide d’une astuce préhistorique dont on reste toujours surpris qu’elle fonctionne encore : copier les zones noircies. Et hop ! En collant sur un document vierge, voilà qu’apparaissent les contenus que le ministère voulait cacher.
Un exemple, parmi les dizaines d'autres tableaux de ce document de 70 pages :
On rappellera que l’exploration de pièces peut parfois générer des problèmes assez lourds. Ainsi Bluetouff a-t-il été condamné à 3 000 euros par la Cour d’appel de Paris pour s’être maintenu dans un système de traitement automatisé, et avoir téléchargé des contenus qui n’auraient pas dû l’être, puisque (mal) protégés par une authentification par login et mot de passe. L’affaire, décrite ici, a été portée désormais devant la Cour de cassation.
Commentaires (71)
#1
Bientôt le Monde titre : « Next INpact provoque une avalanche de procès… » " />
Quand on cherche sans spécifier site:gouv.fr on obtient 153 000 résultats.
#2
du coup comme pour bluetouff, pci est conscient du caractère privé du document, de l’anormalité du fait d’y avoir accès … et le télécharge/le conserve/le révèle quand même. " />
allez, vais dire “tentative de faire un peu de buzz car ça va vraiment mal”
#3
J’ai peur de tuer des gens en cliquant sur certains liens de cette news " />
" />
#4
Et pouf -3000€ " />
#5
Vous, vous allez avoir des problèmes " />
#6
Ca m’en touche une sans m’en bouger l’autre ….
© Chirac.
#7
Vous pouvez faire une recherche sur Google, mais il vaut mieux éviter de cliquer sur les liens.
#8
On rappellera que l’exploration de pièces peut parfois générer des problèmes assez lourds. Ainsi Bluetouff a-t-il été condamné à 3 000 euros par la Cour d’appel de Paris pour s’être maintenu dans un système de traitement automatisé, et avoir téléchargé des contenus qui n’auraient pas dû l’être, puisque (mal) protégés par une authentification par login et mot de passe. L’affaire, décrite ici, a été portée désormais devant la Cour de cassation.
Vivement la suite, cette affaire est d’une aberration à toute épreuve " />
#9
#10
Cherchez pas sur le site de mon ministère, il n’y a rien d’intéressant à voir…
" />" />" />" />" />
A part ça, il paraît que ça existe, des complots nécessitant la participation de milliers de personnes à leur élaboration et exécution et qui ne laissent aucune trace…
" />
#11
Ca me rappel Olivier Laurelli (bluetouff) qui a perdu un procès pour avoir accédé à des documents référencé par google mais pas censé être public ..
#12
Sympa le musée qui “n’existe pas” mais qui est quand même listé!
#13
#14
Je ne sais pas s’il faut en rire ou en pleurer.
" /> " />
#15
#16
doit on (oui ça s’écrit comme ça) essayer “ne pas diffuser” site:gouv.fr filetype:pdf sur youpourn ?
#17
Ça marche aussi avec PCi, on voit des documents à propos de la piscine !
#18
#19
#20
#21
#22
Après analyse des 8 premières pages de résultat sur google, la plupart des documents n’est pas pour autant confidentielle
Il s’agit souvent de documents donnant pour consigne de ne pas diffuser telle ou telle information, pas le document lui même.
D’autre fois, il s’agit de ne pas diffuser de musique ou de films.
On tombe cependant sur quelques docs à ne pas diffuser.
En remontant au répertoire contenant deux documents, j’ai eu droit à :
Forbidden
You don’t have permission to access /IMG/pdf/ on this server.
Erreur 403
Accès interdit.
Ce qui prouve la maîtrise des fichiers restreignant l’accès à un site WEB.
De plus, c’est bien connu qu’un PDF est une image.
#23
#24
#25
Tu rajoutes confidentiel et tu as même des documents où il est indiqué merci de ne pas diffuser sur internet ^^’
#26
#27
#28
J’ai testé sur defense.gov et fbi.gov mais ça ne donne pas les mêmes résultats.
Une page de résultats pour le FBI, et des vieux docs sur le site du Pentagone.
Faut croire que la DMZ est bien configurée chez eux, ou même qu’ils n’en ont pas " />
#29
#30
#31
J’ai adapté la requête pour les sites du gouvernement australien (depuis Sydney) et en voulant accéder à la page 2 des résultats, je me suis mangé une notification d’activité suspecte
3 clics et Google me prend pour un robot. Curieux non?
#32
#33
Et ça marche aussi avec un filetype:sql ? #NSFW " />
#34
#35
#36
#37
#38
mouai, il est surement plus intéressant de chercher : “confidential” “extraterrestrial” “alien” ou encore “ufo” sur nasa.gov " />
#39
#40
#41
#42
mais chut il fallait pas le dire …
#43
#44
#45
Je ne comprendrai jamais comment Google fait pour trouver des choses s’il n’y a pas de lien pour y arriver. Ils essaient quand même pas toutes les combinaisons pour voir si ça renvoie quelque chose.
#46
#47
#48
#49
Tim-timmy, tes interrogations ne sont pas dénuées de sens.
Je tiens juste à noter que l’historique de NxI par rapport au Sinistère de la Kulture tend probablement la rédaction à “ne laisser passer aucune [bourdes]” à ce ministère, tant les confrontations sont historiques et nombreuses.
Je suis gré à NxI de jouer le poil à gratter de ce coté là (les procédures CADA en sont un bon exemple).
Mais, par définition, j’essaie toujours de prendre en considération l’avis d’une personne qui tente d’analyser les motivations d’une entité [diffuseur d’information] plutôt que le factuel de l’information elle-même. Cela me parait une saine démarche, qui semble être la tienne.
Ton avis/expression est donc tout autant respectable que ceux-zou-celles qui voient dans tes contributions de la mauvaise foi.
Vos expressions sont respectables et font, à ce titre, la richesse de la réflexion.
My 2 cents.
" />
#50
#51
#52
#53
Y’en a qui connaissent pas le fichier robots.txt, c’est pourtant tellement simple " />
#54
#55
#56
#57
Personne n’a essayé de mettre ‘secret défense’ au lieu de ‘ne pas diffuser’ ?
#58
#59
#60
Tout comme il est extrêmement simpliste de trouver des documents d’identité (carte d’identité, permis, extrait de naissance) avec une simple recherche google (ex : [url=https://www.google.fr/search?q=index+of+identit%C3%A9+filetype:jpg&spell=1&sa=X&ei=tKL1U7a_H8njPKvvgYAD&ved=0CBoQvwUoAA&biw=1920&bih=943[/url])
Pour ceux qui critiquent les admin-sys/réseau, si les développeurs protègent pas les documents, eux n’y peuvent pas grand chose non plus! (et je parle en tant que développeur web), à bon entendeur!
#61
#62
#63
#64
-Tu confonds opérations spéciales, menées dans le cadre de leur fonctionnement normal par des services secrets, et pour lesquelles une couverture complète peut être assurée par le gouvernement qui les chapeaute, plus ou moins bien d’ailleurs, et complot, qui est mené par essence par des éléments incontrôlés (même si des cas de complots par proxy existent et sont possibles, voir la Rote Armee Fraktion) en dehors de tout cadre légal ou légalisé ;
Il existe du gris dans ta logique manichéenne, un exemple l’opération “stay behind”, montée au départ par la CIA pour créer des réseaux de résistances et de sabotages en cas d’invasion soviétique, puis de détournement en détournement qui s’est propulsée en complot hors Etat et même contre des Etats européens. (soupçonnée de l’attentat de Bologne avant des élections législatives en Italie, de tentatives de meurtre sur de Gaulle)
En France, un des, supposés, responsables s’est suicidé à l’ Elysée sous l’ère Mittérrand.
Sans compter le SAC qui a eu une existence officielle appuyée par de Gaulle avant d’avoir une activité réduite jusqu’à sa “disparition” sous Mittérrand.
#65
#66
#67
#68
#69
On trouve de tout ainsi ! Par exemple dans le documenthttp://www.ssi.gouv.fr/IMG/qualification/2014-06-23_2515_anssi_sde_pss_bqa.pdf : rien de confidentiel ou de restreint puisque le titre comporte “DECISION D’AGREMENT
: VERSION PUBLIQUE” " />
#70
Pour le fameux PDF
http://www.culture.gouv.fr/culture/politique-culturelle/Museostat%202009.pdf
On le trouve mentionné ici :
http://grandstaderugby.debatpublic.fr/espaces-expression-stat/questions-reponses…
" />