Google a récemment corrigé un bug qui permettait à quiconque d’utiliser de manière anonyme un outil Google officiel pour supprimer n’importe quelle URL de la recherche Google et s’en sortir. L’outil avait le potentiel d’être utilisé pour dévaster les classements des concurrents en supprimant complètement leurs URL de l’index de Google. Le bug était connu de Google depuis 2023 mais jusqu’à présent, Google n’avait pris aucune mesure pour le corriger.
Un rapport de la Freedom of the Press Foundation a relaté le cas d’un PDG du secteur technologique qui avait employé de nombreuses tactiques pour « censurer » les reportages négatifs d’un journaliste, allant d’une action en justice pour identifier les sources du journaliste, d’une « campagne d’intimidation » via le procureur de la ville de San Francisco et d’une demande de retrait DMCA.
Malgré tout, le journaliste et la Fondation pour la liberté de la presse ont eu gain de cause devant le tribunal, et l’article au centre des actions est resté en ligne jusqu’à ce qu’il commence à être supprimé suite à un abus de l’outil de suppression de contenu obsolète de Google. Restaurer la page Web avec Google Search Console était facile, mais les abus ont continué. Cela a conduit à l’ouverture d’une discussion sur la communauté d’aide de Google Search Console.
La personne a publié une description de ce qui se passait et a demandé s’il existait un moyen de bloquer les abus de l’outil. Le message alléguait que l’attaquant choisissait un mot qui ne figurait plus dans l’article d’origine et l’utilisait comme base pour affirmer qu’un article était obsolète et devait être supprimé de l’index de recherche de Google.
Voici ce qu’explique le rapport de la communauté d’aide de Google :
« Nous avons une douzaine d’articles qui ont été supprimés de cette façon. Nous pouvons le mesurer en recherchant l’article sur Google, en utilisant le titre entre guillemets et avec le nom du site. Il ne montre aucun résultat renvoyé.
Ensuite, nous allons à GSC et constatons qu’il a été « APPROUVÉ » sous suppression de contenu obsolète. Nous annulons cette demande. Quelques instants plus tard, la recherche SAME fait apparaître un article indexé. C’est la cinquième fois que nous voyons cela se produire.
Quatre cents articles désindexés
Il s’agissait d’une attaque agressive contre un site Web, et Google n’a apparemment rien pu faire pour mettre fin à l’abus, laissant l’utilisateur dans une très mauvaise position.
Dans un article de suivi, ils ont expliqué l’effet dévastateur de l’attaque SEO négative soutenue :
« Chaque semaine, des dizaines de pages sont désindexées et nous devons vérifier quotidiennement le GSC pour voir si quelque chose d’autre a été supprimé, puis le restaurer.
Nous avons désindexé plus de 400 articles, et tous les articles étaient toujours en ligne et sur nos sites. Quelqu’un est entré et les a soumis via l’outil de suppression public, et ils ont été désindexés.
Google a promis de se pencher sur la question
Ils ont demandé s’il existait un moyen de bloquer les attaques, et Danny Sullivan de Google a répondu :
« Merci – et encore une fois, les pages sur lesquelles vous voyez la suppression se produire, il n’y a aucun mécanisme de blocage dessus. »
Danny a répondu à un message de suivi, disant qu’ils examineraient la question :
« L’outil est conçu pour supprimer les liens qui ne sont plus actifs ou les extraits qui ne reflètent plus le contenu en direct. Nous examinerons cela plus en détail. »
Le rapport initial indiquait que l’attaque SEO négative exploitait des mots modifiés dans le contenu pour supprimer avec succès un contenu obsolète. Mais il semble qu’ils aient découvert plus tard qu’une autre méthode d’attaque était utilisée.
L’outil de suppression de contenu obsolète de Google est sensible à la casse, ce qui signifie que si vous soumettez une URL contenant une lettre majuscule, le robot d’exploration vérifiera spécifiquement la version majuscule, et si le serveur renvoie une réponse d’erreur 404 Not Found, Google supprimera toutes les versions de l’URL.
La Fondation pour la liberté de la presse écrit que l’outil n’est pas sensible à la casse, mais ce n’est pas tout à fait exact car s’il était insensible, la casse n’aurait pas d’importance. Mais la casse est importante, ce qui signifie qu’elle est sensible à la casse.
À propos, la victime de l’attaque aurait pu créer une solution de contournement en réécrivant toutes les demandes d’URL en majuscules en minuscules et en appliquant les URL en minuscules sur l’ensemble du site Web.
C’est la faille exploitée par l’attaquant. Ainsi, même si l’outil était sensible à la casse, à un moment donné dans le système, le système de suppression de Google est indépendant de la casse, ce qui a entraîné la suppression de l’URL correcte.
Voici comment la Fondation pour la liberté de la presse l’a décrit :
« Notre article… a disparu de la recherche Google à l’aide d’une nouvelle manœuvre qui n’a apparemment pas été publiquement bien documentée auparavant : un abus soutenu et coordonné de l’outil « Actualiser le contenu obsolète » de Google.
Cet outil est censé permettre à ceux qui ne sont pas propriétaires d’un site de demander la suppression des résultats de recherche de pages Web qui ne sont plus actives (renvoyant une « erreur 404 »), ou de demander une mise à jour lors de la recherche de pages Web qui affichent des informations obsolètes ou obsolètes dans les résultats renvoyés.
Cependant, jusqu’à récemment, un acteur malveillant pouvait faire disparaître un article légitime en soumettant une demande de suppression d’une URL ressemblant à l’article cible mais conduisant à une « erreur 404 ». En modifiant la majuscule d’un slug d’URL, un acteur malveillant pourrait apparemment profiter d’un bug d’insensibilité à la casse dans le système automatisé de suppression de contenu de Google.
Autres sites affectés par cet exploit
Ils auraient déclaré que le problème n’affectait qu’une « infime fraction des sites Web » et que les sites touchés à tort avaient été rétablis.
Google a répondu par email pour noter que ce bug a été corrigé.