Après les Ghost Refferal qui ont infecté les données de Google Analytics, voilà que les pirates SEO ont tourné leurs canons vers Google Search Console. Les spécialistes de la sécurité sur internet chez Securi ont donné l’alerte en découvrant un grand nombre de hackage dans cet outil pour Webmaster. En utilisant une technique classée Blackhat SEO, les pirates se font passer pour un propriétaire du site dans le but de rediriger les visiteurs du site piraté.
Pourquoi s’attaquer à Google Search Console ?
Les pirates comprennent que ce puissant outil de Google regorge d’informations intéressantes et exploitables pour atteindre leurs objectifs. En effet, plusieurs données sensées restées confidentielles et accessibles seulement à quelques utilisateurs « vérifiés » sont affichés sur Google Search Console. A l’instar des données sur:
- L’apparence du site dans les résultats des recherches
- L’état d’indexation du site
- Problème de sécurité
- Le trafic de recherche, etc.
Comment les pirates agissent-ils ?
En se faisant passer pour un propriétaire légitime du site, les pirates injectent du contenu spam et appliquent leurs techniques malveillantes sur les sites piratés. Certains parviennent même à supprimer les vrais propriétaires du site. Un micmac qui va leur servir de couverture et les cache sous l’ombre d’un vrai propriétaire du site jusqu’à ce qu’on les détecte.
Le plus gros boulet dans tout ça, c’est qu’un pirate ajoute plusieurs utilisateurs sur un même compte piraté. Un propriétaire de site a confirmé avoir reçu des notifications sur la création de 30 nouveaux Utilisateurs vérifiés sur son compte.
Quelles sont les finalités des attaques ?
Jusque-là, les objectifs liés à ces attaques ne sont pas très nets. Les idées sont disparates, mais se recoupent sur certains points.
Les pirates cherchent à :
- Découvrir la portée de leurs actes de piratage. Ils obtiendraient par exemple des données sur le CTR, le nombre d’impressions, la position dans les moteurs des recherches, etc.
- Une autre hypothèse serait que les pirates recherchent à créer un fichier sitemap dans le compte de l’utilisateur vérifié d’un site web. Ce qui va leur permettre de gagner en notoriété vis-à-vis des moteurs de recherche, car le sitemap contient déjà la liste des pages de leurs sites.
- Ils peuvent aussi chercher à supprimer définitivement un « propriétaire vérifié » en supprimant depuis la racine du site le fichier HTML qui contient l’identifiant unique du propriétaire.
- Ils détournent par la suite les visiteurs de ce site vers du contenu dupliqué ou du contenu considéré comme du SPAM.
D’autres raisons peuvent les pousser à commettre ces attaques, si vous en connaissez d’autres n’hésitez pas à poster en commentaire.
Barrières et anti-barrières de sécurité Google Search Console
Avant d’accorder l’accès total aux données dans Google Search Console, le webmaster doit d’abord passer par une vérification. Le chargement d’un fichier HTML à insérer à la racine du site est la méthode la plus utilisée par les webmasters selon Securi. Ce fichier possède la structure google-site vérification: google <code> .html avec à la place du <code> une suite de 15 chiffres associés à un utilisateur de Google. Ce même fichier peut être utilisé pour vérifier plusieurs sites internet à la fois.
Les pirates s’attaquent d’abord à un site cible par le biais d’une faille de sécurité. Par ce même chemin, les pirates peuvent charger un fichier HTML à la racine du site web pour obtenir leur sésame sur les données de Google Search Console. Les pirates qui ont accès à ce fichier HTML le régénèrent pour avoir un statut de « propriétaire vérifié ».
Comment faire face à ces attaques ?
Un webmaster professionnel doit être vigilant pour chaque alerte de création d’un nouvel utilisateur. Il doit vérifier en détail les informations sur celui-ci. Il est aussi conseillé d’utiliser d’autres méthodes de vérification d’utilisateurs comme l’utilisation du Code de suivi Google Analytics, l’emplacement de Code JavaScript dans les pages à suivre ou à travers le fournisseur de nom de domaine… Dans le cas où il y a une régénération du fichier HTML dans le dossier racine du site, il est primordial de le vérifier et de le supprimer si vous doutez qu’il y ait acte de piratage. Dans tous les cas, suivez les conseils d’un expert en référencement naturel pour vous évincer de toutes mauvaises surprises.
Article source : blog.securi.net