Qu’est-ce que l’Empoisonnement SEO (SEO Poisoning) ?

visuel qu'est-ce que l'empoisonnement SEO

Après maintenant 5 années dans la sphère du référencement naturel, j’ai récemment découvert (grâce aux M8 de la Rocket School, que je remercie) un nouveau terme du milieu : l’empoisonnement SEO. Alors certes ça pourrait faire une très bonne leçon de vie comme quoi on a jamais fini d’apprendre, mais si je vous en parle aujourd’hui c’est plutôt pour vous faire découvrir (ou redécouvrir) ce qu’est le SEO Poisoning avec quelques exemples d’application.

 

Définition de l’empoisonnement SEO

L’empoisonnement SEO représente le fait de positionner sur des moteurs de recherche des sites et liens nocifs directement sur des mots-clés recherchés par des utilisateurs. L’objectif est souvent de voler les données des utilisateurs, avec des manières variées : forcer le téléchargement des malwares sans le consentement de l’utilisateur, faire du phishing

En gros, ce sont des pages visibles depuis les SERP (résultats de recherche), se faisant passer pour des sites authentiques et dignes de confiance (voire jusqu’à essayer d’emprunter l’identité d’un média, en faisant notamment du typosquatting comme on le verra plus tard), qui sont en réalité nuisibles. Cela s’apparente à du référencement malveillant,

On ne confondra pas pour autant ce terme avec le « Spamdexing » : ce dernier étant plutôt une technique Black Hat généralement utilisée pour propulser ces résultats de faible qualité dans les premiers résultats. Le SEO Poisoning en est alors en quelques sortes sa conséquence.

 

Comment ça marche ?

1ère partie : positionner les résultats et faire cliquer les utilisateurs

Si vous connaissez un peu le fonctionnement du référencement naturel, vous allez me dire : « Mais Hugo, Google peut identifier ces sites empoisonnés et les pénaliser gravement ». Et c’est le cas. Sauf que les pirates redoublent d’ingéniosité pour contourner ce filtre et parvenir à leur fin :

  • Par exemple, en spammant un domaine accessible, comme ce fut le cas pour l’exemple qui suivra. Ou en cachant ce malware via du code non crawlable (explorable) par Google.
  • Ou encore en passant par le SEA, comme on le verra un peu plus tard dans l’article.

 

2e partie : imposer le malware aux visiteurs

Une fois le faux site ou la fausse page positionnée, il n’y a plus qu’à attendre un clic. Dans la plupart des cas, dès que le lecteur accèdera au site, un script se mettra en marche lançant le téléchargement du malware. Une précaution (et un bon antivirus) sont donc de mise.

 

Un exemple de SEO Poisoning en 2024

J’espère que vous n’êtes pas en Australie, et n’avez pas cherché à savoir si les chats du bengale étaient légaux dans votre pays. Car si c’est le cas, et que vous avez cliqué sur un des résultats de recherche, il y a de fortes chances que vous ayez récupéré un malware.

C’est la société spécialisée dans la lutte contre la cyber-criminalité Sophos qui a donné l’alerte en novembre 2024 suite aux résultats Google de cette recherche : la 1ère page était infestée par des faux sites, où si l’on cliquait dessus, lançaient le téléchargement d’un fichier JS (JavaScript) sur votre PC depuis votre navigateur. Une fois le programme enclenché, les pirates n’avaient plus qu’à se servir dans vos données, à la manière d’un cheval de Troie.

 

Visuel d’un site empoisonné.

 

Conséquences du clic.

 

Même si cet exemple peut être un peu excentrique, en 2023 des cas de SEO Poisoning à grande envergure avaient été recensés, touchant des SERPs de recherche de logiciels populaires comme 7ZiP, CC Cleaner ou encore le VLC Media Player.

 

Comment détecter et prévenir ces SERP « empoisonnées » ?

Faire attention au typosquatting

Vous voyez ces e-mails ou SMS d’arnaques que vous recevez, vous demandant de cliquer sur un lien au nom de domaine familier, mais brièvement différent, comme si je vous demandais d’aller sur lindekin.fr ? Même si un œil avisé saurait voir les très légères différences avec le véritable site, celui d’un néophyte du web pourrait se faire berner. C’est ce principe-même qui est recherché par les arnaqueurs, et qu’on appelle typosquatting.

D’ailleurs, si un jour vous recevez un e-mail vous demandant de vous rendre sur hugo-dormeur.com, méfiez-vous.

 

exemple de typosquatting

Bon ça va, il n’y a pas encore de petit malin qui veut m’empoisonner.

 

Attention aux liens sponsorisés

Malheureusement cette partie ne va pas faire plaisir à mes confrères SEA, mais c’est pourtant l’une des techniques principales pour propulser des sites empoisonnés : le référencement payant. Là où Google explore scrupuleusement chaque site présent dans son index, en prenant compte leur authenticité, crédibilité, notoriété et bien d’autres aspects (littéralement la notion de SEO) pour définir son classement naturel, les liens sponsorisés s’affichent dans les premiers résultats, à la condition de devoir un certain montant au moteur de recherche en cas de clic.

Même si la firme de Mountain View propose un premier filtre, les hackers rusent pour forcer le passage, notamment en utilisant des pages fictives qu’ils redirigent ensuite vers leur site infecté.

 

Utiliser des programmes de détection avancés

Une stratégie de sécurité simple et efficace ; certains logiciels vérifient automatiquement les SERP pour indiquer les sites de confiance (et par extension, sécurisés). Plus pratique que devoir former des équipes entières, parfois novices dans l’univers du web, sur des centaines de critères où être vigilant.

J’avoue malheureusement en avoir testé aucun, je ne pourrai donc pas en recommander.

 

Conclusion

On est encore loin de l’utopie d’un Internet entièrement sécurisé, malgré les avancées continuelles des moteurs de recherche et des navigateurs pour limiter la propagation de ces malwares. J’avoue avoir été surpris d’entendre que des techniques telles que l’empoisonnement SEO sévissent toujours en 2024, mais c’est une réalité. Heureusement, elles sont de plus en plus contrées, ce qui n’empêche pas de toujours rester vigilant.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

J’accepte les conditions et la politique de confidentialité

div#stuning-header .dfd-stuning-header-bg-container {background-size: initial;background-position: top center;background-attachment: initial;background-repeat: initial;}#stuning-header div.page-title-inner {min-height: 650px;}