Merci à tycho et merlin8282 pour cette info.

Chercher des fichiers .env sur Google:

https://www.google.com/search?q=db_password+filetype%3Aenv

Et récupérer le tout avec curl, parce que c'est plus drôle et ça permet de se rendre compte plus rapidement de l'ampleur du désastre. Si vous faire de la merde avec c'est votre problème pas le mien, je partage pour que ceux qui doivent corriger leurs erreurs le fassent. ;)

for ((j=0; j<100; ((j+=10)))); do for i in $(curl -sA 'Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0' 'https://www.google.com/search?q=db_password+filetype%3Aenv&start=${j}' | sed -ne 's:<h3:\n&:gp' | sed -ne 's:^<h3 class="r"><a href="\([^[:space:]]*\)".*$:\1:p'); do echo "### $i ###"; curl -s "$i" | grep --color -Ee '(PASSWORD|HOST)'; done; done

Oui apache ne bloque que certain fichier avec un point devant comme le .htacess, donc penser à faire ce qu'il faut pour que certains fichiers ne soient pas accessibles !