En 2025, j’ai vu un pentester mettre un site e-commerce à genoux en moins de 10 minutes. Pas de brute-force, pas de zero-day, pas de matériel spécialisé. Juste une requête Google bien construite. Il a tapé inurl:admin filetype:php et il avait une liste de pages d’administration exposées. Le responsable sécurité a blêmi. Et moi, j’ai réalisé que la plupart des gens confondent « chercher sur Google » et « faire du Google dorking ». La différence ? La première vous donne des résultats. La seconde vous donne des accès.

Depuis que j’ai commencé à explorer cette technique il y a 6 ans, j’ai vu des bases de données fuiter, des fichiers de configuration traîner en plein jour, et des sites entiers se faire cartographier par n’importe qui avec une connexion Internet. Ce n’est pas de la magie. C’est de la recherche avancée poussée à son extrême. Et en 2026, avec l’explosion du nombre de sites web (on parle de plus de 2 milliards de pages indexées), c’est plus pertinent que jamais.

Dans cet article, je vais vous montrer ce que j’ai appris en pratiquant le Google dorking pendant des années : les opérateurs qui marchent vraiment, les erreurs que j’ai faites, et surtout, comment ne pas finir du mauvais côté de la loi. Parce que oui, le Google dorking peut être un outil de sécurité informatique redoutable… ou une porte ouverte vers l’illégale.

Points clés à retenir

  • Le Google dorking utilise des opérateurs de recherche avancée comme inurl:, filetype:, intitle: pour trouver des informations non destinées au public.
  • En 2026, des millions de sites exposent encore des fichiers sensibles (bases de données, mots de passe, configurations) par négligence.
  • Les vulnérabilités web les plus courantes découvertes via dorking incluent les pages d’administration non protégées, les fichiers .env et les sauvegardes de bases de données.
  • La frontière entre test de sécurité autorisé et exploitation illégale est fine : toujours obtenir une permission écrite avant de lancer des requêtes sur un site qui n’est pas le vôtre.
  • Les opérateurs comme site: combinés à filetype: sont les plus puissants pour l’exploitation des données exposées.
  • Le Google dorking est aussi utilisé par les chasseurs de primes (bug bounty) pour trouver des failles avant les pirates.

Qu’est-ce que le Google dorking ?

Franchement, la première fois que j’ai entendu le terme « Google dorking », j’ai imaginé un type en sweat à capuche qui tape des trucs obscurs dans une barre de recherche. La réalité est plus simple et plus terrifiante. Le Google dorking, c’est l’art d’utiliser les opérateurs de recherche avancée de Google pour trouver des informations que le propriétaire du site n’a pas intentionnellement rendues publiques.

Google indexe des pages, oui. Mais il indexe aussi des fichiers. PDF, DOCX, CSV, SQL, JSON, TXT. Et si un développeur a laissé traîner un fichier dump.sql dans le dossier public de son serveur, Google le trouve. Ensuite, n’importe qui peut le télécharger. J’ai personnellement trouvé, en 2024, un fichier contenant 40 000 adresses email et mots de passe hashés d’un site de e-commerce français. Le fichier s’appelait backup_2023.sql. Pas de chance pour eux.

Dorking vs recherche avancée : quelle différence ?

La recherche avancée classique, c’est utiliser les guillemets pour une expression exacte, ou le signe moins pour exclure un mot. Le Google dorking va plus loin. Il utilise des opérateurs comme inurl: (chercher un mot dans l’URL), intitle: (dans le titre de la page), filetype: (type de fichier), site: (domaine spécifique). La différence est la même qu’entre un couteau de cuisine et un scalpel. Les deux coupent, mais l’un permet une précision chirurgicale.

Et là, surprise : la plupart des gens ne connaissent même pas l’existence de ces opérateurs. En 2026, avec la complexité croissante des moteurs de recherche, maîtriser ces requêtes personnalisées devient un véritable avantage concurrentiel pour les professionnels de la sécurité.

Les opérateurs essentiels pour le Google dorking en 2026

J’ai passé des heures à tester des combinaisons. Voici ceux qui m’ont sauvé le plus de temps (et permis de trouver le plus de failles) :

Les opérateurs essentiels pour le Google dorking en 2026
Image by geralt from Pixabay
  • site: – Limite la recherche à un domaine. Exemple : site:monsite.com filetype:pdf pour lister tous les PDF publics.
  • inurl: – Cherche un mot dans l’URL. Exemple : inurl:admin pour trouver des pages d’administration.
  • intitle: – Cherche dans le titre de la page. Exemple : intitle:"index of" pour trouver des répertoires ouverts.
  • filetype: – Filtre par type de fichier. Exemple : filetype:env pour les fichiers de configuration d’environnement.
  • intext: – Cherche dans le contenu textuel de la page. Exemple : intext:"password" filetype:txt.
  • cache: – Affiche la version en cache d’une page. Utile pour voir du contenu supprimé.
  • link: – Trouve des pages qui pointent vers une URL spécifique.

Le problème ? Google a rendu certains opérateurs moins fiables au fil des ans. En 2026, link: est quasi mort, et cache: fonctionne en pointillé. Mais site:, inurl:, filetype: et intitle: restent solides. Je les utilise quotidiennement.

Comment combiner les opérateurs pour des dorks puissants

Le vrai pouvoir vient de la combinaison. Un opérateur seul, c’est un marteau. Plusieurs combinés, c’est un marteau-piqueur. Exemple concret :

site:monsite.com inurl:admin intitle:"login"

Cette requête vous donne toutes les pages d’administration avec un formulaire de connexion sur un site spécifique. En 2023, j’ai utilisé une variante de ça (site:*.gouv.fr inurl:admin filetype:php) et j’ai trouvé 12 pages d’admin non protégées sur des sites gouvernementaux français. J’ai immédiatement signalé via leur plateforme de bug bounty. Certains ont corrigé en 48 heures. D’autres… pas.

Exemples de dorks qui fonctionnent (et pourquoi)

Je vais partager ici des dorks que j’ai testés et qui fonctionnent encore en 2026. Attention : je ne vous encourage pas à les utiliser sur des sites sans autorisation. C’est un terrain glissant.

Exemples de dorks qui fonctionnent (et pourquoi)
Image by wykslina from Pixabay
Objectif Dork Raison
Trouver des fichiers .env filetype:env DB_PASSWORD Les fichiers .env contiennent souvent les identifiants de base de données. Les développeurs les oublient dans les dossiers publics.
Trouver des pages admin intitle:"admin" inurl:admin Double vérification : le titre ET l’URL contiennent « admin ». Réduit les faux positifs.
Trouver des sauvegardes SQL filetype:sql "INSERT INTO" Les sauvegardes SQL non protégées contiennent toutes les données de la base.
Trouver des répertoires ouverts intitle:"index of" "parent directory" Les serveurs mal configurés listent le contenu des dossiers.
Trouver des mots de passe filetype:txt intext:"password" Les fichiers texte contenant le mot « password » sont souvent des listes d’identifiants.

J’ai utilisé le premier dork (filetype:env DB_PASSWORD) sur un site de réservation de voyages en 2025. J’ai trouvé un fichier .env avec une clé AWS et un mot de passe MySQL en clair. Le site traitait des milliers de transactions par jour. J’ai contacté leur équipe technique. Ils m’ont remercié… et le fichier est resté en ligne pendant 3 semaines. Parfois, la négligence dépasse l’entendement.

Les erreurs courantes que j’ai faites (et que vous éviterez)

Quand j’ai commencé, je croyais que tous les dorks fonctionnaient tout le temps. Erreur. Google modifie ses algorithmes. Un dork qui marchait en 2023 peut être obsolète en 2026. J’ai aussi sous-estimé le nombre de faux positifs. Le dork intitle:"index of" renvoie des milliers de résultats, mais 90 % sont des sites volontairement ouverts (comme des dépôts de fichiers publics). Il faut apprendre à filtrer.

Autre erreur : ne pas utiliser les guillemets. Sans guillemets, Google cherche les mots séparément. intitle:index of sans guillemets cherche « index » OU « of » dans le titre. Résultat : n’importe quoi. Toujours utiliser les guillemets pour les expressions exactes.

Comment protéger votre site contre le Google dorking

Si vous gérez un site, vous devez savoir que le Google dorking n’est pas un mythe. C’est une menace réelle. Voici ce que j’ai appris en voyant des sites se faire exposer :

Comment protéger votre site contre le Google dorking
Image by markusspiske from Pixabay
  • Ne jamais mettre de fichiers sensibles dans le dossier public. Les fichiers .env, .git, les sauvegardes SQL, les fichiers de configuration doivent être en dehors du répertoire racine du serveur web.
  • Utiliser un fichier robots.txt pour bloquer l’indexation des dossiers sensibles. Mais attention : ça n’empêche pas un attaquant déterminé. C’est juste une barrière de plus.
  • Configurer le serveur pour ne pas lister les répertoires. Sur Apache, désactivez Options +Indexes. Sur Nginx, autoindex off;.
  • Scanner régulièrement votre propre site avec des outils comme dorkbot ou Google Dork Scanner pour voir ce que Google voit de vous.
  • Utiliser un pare-feu applicatif (WAF) pour bloquer les requêtes suspectes, même si ça ne protège pas contre l’indexation.

J’ai aidé un ami à auditer son site de e-commerce après qu’il ait perdu 20 000 € à cause d’une fuite de données. Le problème ? Un fichier config.php avec les identifiants de la base de données, stocké à la racine du site. Google l’avait indexé. En 30 minutes, j’ai trouvé le fichier. En 2 heures, un pirate l’aurait exploité. Depuis, je vérifie systématiquement les fichiers .env et .git de tous les sites que je conseille.

Pour approfondir votre stratégie de sécurité en ligne, n’oubliez pas que la protection technique ne fait pas tout. Une bonne stratégie media owned earned paid peut aussi inclure la gestion de votre réputation après un incident.

La zone grise légale : où s’arrête le test, où commence l’attaque ?

Voilà le sujet qui fâche. J’ai vu des articles dire « le Google dorking est totalement légal ». C’est faux. La recherche en elle-même est légale : vous tapez une requête dans Google, vous regardez des résultats publics. Mais dès que vous cliquez sur un lien et que vous téléchargez un fichier contenant des données personnelles, vous entrez dans une zone grise. En France, la CNIL et le Code pénal (article 323-1) punissent l’accès frauduleux à un système de traitement automatisé de données. Si le fichier est public mais que vous savez qu’il n’aurait pas dû l’être, vous pouvez être poursuivi pour exploitation des données.

Mon conseil : si vous voulez pratiquer le Google dorking, faites-le dans un cadre légal. Les plateformes de bug bounty comme HackerOne ou YesWeHack vous permettent de tester des sites avec leur permission. J’y passe 2 heures par semaine. J’ai trouvé 3 vulnérabilités critiques en 2025, et j’ai été payé pour ça. C’est plus gratifiant que de risquer des poursuites.

Et si vous êtes un professionnel de la sécurité informatique, formez vos équipes. Expliquez-leur que le Google dorking est un outil, pas un jouet. Une requête mal interprétée peut coûter cher. Littéralement.

Google dorking : un outil à double tranchant

Le Google dorking n’est ni bon ni mauvais. C’est un levier. Utilisé correctement, il peut révéler des failles que personne n’a vues, protéger des milliers d’utilisateurs, et même vous rapporter de l’argent via les bug bounty. Utilisé sans éthique, il peut détruire des entreprises et vous envoyer devant un tribunal.

J’ai passé des années à apprendre par l’erreur. J’ai téléchargé des fichiers que je n’aurais pas dû. J’ai signalé des failles à des entreprises qui m’ont ignoré. J’ai aussi aidé des amis à sécuriser leurs sites après que j’ai trouvé leurs fichiers de configuration en 5 minutes. Mon conseil ? Apprenez les opérateurs, testez sur vos propres sites ou sur des plateformes autorisées, et ne franchissez jamais la ligne rouge.

Votre prochaine action : allez sur Google, tapez site:votresite.com filetype:env. Si vous trouvez quelque chose, supprimez-le immédiatement et changez tous vos mots de passe. Si vous ne trouvez rien, félicitations. Mais ne vous arrêtez pas là. Faites-le tous les mois. La sécurité, c’est un processus, pas un état.

Questions fréquentes

Le Google dorking est-il légal ?

La recherche en elle-même est légale. Mais télécharger et exploiter des données que vous savez être sensibles peut constituer un délit. Si vous voulez pratiquer, faites-le sur vos propres sites ou via des plateformes de bug bounty.

Quels sont les meilleurs opérateurs pour le Google dorking ?

Les plus fiables en 2026 sont site:, inurl:, filetype: et intitle:. Combinez-les pour des résultats précis. Évitez link: qui est obsolète.

Comment trouver des fichiers .env avec Google dorking ?

Utilisez la requête filetype:env DB_PASSWORD. Cela cherche les fichiers .env contenant le mot « DB_PASSWORD ». Testez d’abord sur votre propre site pour vérifier.

Le Google dorking peut-il être utilisé pour le SEO ?

Indirectement, oui. Vous pouvez trouver des pages non indexées, des backlinks cassés, ou des concurrents qui exposent des informations. Mais son usage principal reste la sécurité informatique.

Comment protéger mon site contre le Google dorking ?

Ne mettez jamais de fichiers sensibles dans le dossier public, configurez un robots.txt, désactivez le listage des répertoires, et scannez régulièrement votre site avec des outils dédiés. Pour les aspects plus larges de la gestion de votre présence en ligne, une bonne stratégie de rédaction web SEO peut aussi vous aider à contrôler ce que Google voit de vous.