Bruno Kerouanton

As usual, the guys from Google Labs have innovated by unveiling their new Google Code Search engine, which ables to find sequences into all the source codes published on the Internet. Although this is really useful for a lot of programmers, it has quickly attracted malicious users…

The problem is that Google Code Search ables to peek into all the source codes that is online… some soucecode shouldn’t have been published and is still proprietary of some companies, or even contains confidential parts, but Google indexes it. It is now easy to make a search including the word “confidential”, to get some internal source codes.

There is another annoying consequence : hackers can now search for keygens and other malware sourcecodes, since they are now easily indexed. They will have to recompile the code but it shouldn’t be an impossible task for most of them.

There are also some (badly designed !) applications that can be including hardcoded passwords and sensitive information within the source code… Easy task to recover those, now that Google Code Search is available !

In summary, be careful not to disclose your source codes if you believe they could provide means to lower the security level, or to disclose information… and be warned that since this search engine is available, I am pretty sure that attackers will use it throughly to find vulnerabilities and to create new attacks and tools based on those new sourcecodes.

RESUME : Comme à l’accoutumée, les génies de Google ont innové en proposant une version de leur moteur de recherche capable de retrouver tout texte au sein des codes sources disponibles sur Internet. Bien que cela soit utile pour nombre de programmeurs, certains utilisateurs malveillants ont vite trouvé comment en tirer profit.

Le problème est que Google Code Search permet de rechercher dans l’ensemble des codes source qui sont disponibles sur Internet, y compris dans ceux qui ne devraient pas y être. Une simple recherche avec le terme “confidentiel” devrait vous convaincre. Résultat, le bricoleur moyen peut obtenir des codes appartenant à différentes sociétés.

Une autre conséquence intéressante ou ennuyeuse selon la personne, est qu’il est également possible de rechercher parmi les codes sources présents, ceux qui permettent de créer des programmes malveillants, ou bien encore des générateurs de numéros de série pour déverrouiller les programmes, comme on peut le voir toujours avec une simple requête. Certes, ils auront à recompiler le code source pour obtenir le programme, mais cela ne devrait pas être trop difficile pour la plupart d’entre eux.

Il y a également un nombre important de programmes (très mal conçus) qui incorporent des mots de passe et autres données sensibles “en dur”. Résultat, avec Google Code Search il devient facile de les retrouver puis de les extraire des codes sources prétendus confidentiels mais présents en ligne sur Internet.

Conclusion : Faites attention à vos codes sources, ne les laissez pas traîner n’importe où si ils vous semblent importants et surtout nettoyez les informations sensibles qui pourraient y être inclues avant de publier sur Internet ! … Et il me semble que de nombreuses nouvelles failles applicatives vont voir le jour d’ici peu, suite à ce fabuleux outil pour les pirates… méfiance donc.