Google a récemment corrigé un bogue qui a permis à quiconque d'utiliser de manière anonyme un outil Google officiel pour supprimer toute URL de Google Search et s'enfuir. L'outil avait le potentiel d'être utilisé pour dévaster les classements des concurrents en supprimant complètement leurs URL de l'indice de Google. Le bogue était connu de Google depuis 2023, mais jusqu'à présent, Google n'avait pas pris de mesures pour le réparer.
Outil exploité pour la gestion de la réputation
Un rapport de la Freedom of the Press Foundation a raconté le cas d'un PDG de la technologie qui avait utilisé de nombreuses tactiques pour «censurer» les reportages négatifs d'un journaliste, allant de l'action en justice pour identifier les sources du journaliste, une «campagne d'intimidation» via le procureur de la ville de San Francisco et une demande de dmca.
Grâce à tout cela, le journaliste et la liberté de la Press Foundation ont prévalu devant le tribunal, et l'article au centre des actions est resté en ligne jusqu'à ce qu'il commence à être supprimé grâce à l'abus de l'outil de contenu supprimé de Google. La restauration de la page Web avec Google Search Console a été facile, mais les abus ont continué. Cela a conduit à ouvrir une discussion sur la communauté d'aide à la console de recherche Google.
La personne a publié une description de ce qui se passait et a demandé s'il y avait un moyen de bloquer l'abus de l'outil. Le Post a allégué que l'attaquant choisissait un mot qui n'était plus dans l'article d'origine et l'utilisait comme base pour affirmer qu'un article est dépassé et devrait être supprimé de l'index de recherche de Google.
C'est ce que le rapport sur la communauté d'aide de Google a expliqué:
«Nous avons une douzaine d'articles qui ont été supprimés de cette façon. Nous pouvons le mesurer en recherchant Google pour l'article, en utilisant le titre en guillemets et avec le nom du site. Il ne montre aucun résultat renvoyé.
Ensuite, nous allons à GSC et constatons qu'il a été «approuvé» sous la suppression de contenu obsolète. Nous annulions cette demande. Quelques instants plus tard, la même recherche fait apparaître un article indexé. C'est la 5e fois que nous voyons cela se produire. »
Quatre cents articles désindexés
Ce qui se passait était une attaque agressive contre un site Web, et Google n'a apparemment rien pu faire pour arrêter les abus, laissant l'utilisateur dans une très mauvaise position.
Dans un article de suivi, ils ont expliqué l'effet dévastateur de l'attaque SEO négative soutenue:
«Chaque semaine, des dizaines de pages sont désindexées et nous devons vérifier le GSC tous les jours pour voir si quelque chose d'autre a été supprimé, puis restaurer cela.
Nous avons eu plus de 400 articles désindexés, et tous les articles étaient toujours en direct et sur nos sites. Quelqu'un est entré et l'a soumis via l'outil de suppression du public, et ils ont été désindexés. »
Google a promis de l'examiner
Ils ont demandé s'il y avait un moyen de bloquer les attaques, et Danny Sullivan de Google a répondu:
« Merci – et encore une fois, les pages où vous voyez la suppression se produire, il n'y a pas de mécanisme de blocage sur eux. »
Danny a répondu à un article de suivi, disant qu'ils l'examineraient:
«L'outil est conçu pour supprimer des liens qui ne sont plus en direct ou des extraits qui ne reflètent plus de contenu en direct. Nous nous examinerons plus loin.»
Comment l'outil de Google a été exploité
Le rapport initial indique que l'attaque de référencement négative tirait des mots modifiés dans le contenu pour déposer une suppression réussie de contenu obsolète. Mais il semble qu'ils ont découvert plus tard qu'une autre méthode d'attaque était utilisée.
L'outil de suppression de contenu obsolète de Google est sensible à la casse, ce qui signifie que si vous soumettez une URL contenant une lettre en majuscules, le Crawler sortira spécifiquement pour vérifier spécifiquement la version en majuscules, et si le serveur renvoie une réponse d'erreur 404 non trouvée, Google supprimera toutes les versions de l'URL.
La Freedom of the Press Foundation écrit que l'outil est insensible au cas, mais ce n'est pas tout à fait correct car s'il était insensible, le cas n'aurait pas d'importance. Mais le cas est important, ce qui signifie qu'il est sensible à la casse.
Soit dit en passant, la victime de l'attaque aurait pu créer une solution de contournement en réécrivant toutes les demandes d'URL en majuscules pour faire respecter les URL minuscules sur l'ensemble du site Web.
C'est le défaut que l'attaquant a exploité. Ainsi, alors que l'outil était sensible à la casse, à un moment donné du système de suppression de Google, le système de suppression de Google est le cas agnostique, ce qui a entraîné la suppression de l'URL correcte.
Voici comment la Freedom of the Press Foundation l'a décrit:
« Notre article … a été disparu de Google Search à l'aide d'une nouvelle manœuvre qui n'a apparemment pas été publiquement bien documentée auparavant: un abus soutenu et coordonné de l'outil » Refrext Disphed Content « de Google.
Cet outil est censé permettre à ceux qui ne sont pas le propriétaire d'un site de demander la suppression des résultats de recherche de pages Web qui ne sont plus en direct (renvoyant une «erreur 404»), ou pour demander une mise à jour de la recherche de pages Web qui affichent des informations obsolètes ou obsolètes dans les résultats renvoyés.
Cependant, un acteur malveillant pourrait, jusqu'à récemment, disparaître un article légitime en soumettant une demande de renvoi pour une URL qui ressemblait à l'article cible mais a conduit à une «erreur 404». En modifiant la capitalisation d'une limace d'URL, un acteur malveillant pourrait apparemment profiter d'un bogue d'insensibilité à la cas dans le système automatisé de suppression de contenu de Google. »
Autres sites touchés par ces exploitations
Google a répondu à la liberté de la Press Foundation et a admis que cet exploit avait en fait affecté d'autres sites.
Ils sont cités comme disant que le problème n'a eu aucun impact sur une «petite fraction des sites Web» et que les sites à tort ont été réintégrés.
Google a répondu par e-mail pour noter que ce bogue a été corrigé.
