Google Search Console est le théâtre d'une recrudescence de détournements
afin de cacher et prolonger des attaques, d'après Sucuri

Le Google Webmaster Tools, rebaptisé Google Search Console en mai 2015, offre aux propriétaires de sites des outils pour avoir des statistiques sur les résultats de recherche dans leurs sites, pour dépanner efficacement des problèmes relatifs à la SEO ou encore pour recevoir des notifications sur les problèmes liés à la performance, à la configuration ou à la sécurité.

Cette dernière fonctionnalité est très utile étant donné que l’infection d’un site peut ternir son image et lui faire perdre du trafic ; les utilisateurs qui cliquent sur des liens dans les résultats de recherche qui les envoient à des sites web hébergeant des malwares ou des spams peuvent recevoir des messages d’alerte qui les dissuadent d’y revenir.

Google permet à plus d’une personne de réclamer la propriété d’un site sur son compte Search Console. Il ne s’agit pas là de quelque chose de particulièrement surprenant, étant donné que derrière un site plusieurs personnes peuvent être impliquées. Le propriétaire, l’administrateur du site et le spécialiste d’optimisation des recherches sont cependant très souvent des individus bien distincts. De ce fait, ils peuvent profiter des données relatives à leurs fonctions dans leur compte Search Console.

Pour se faire identifier, il est possible de procéder de différentes manières, la plus simple étant de charger un fichier HTML avec un code qui est unique pour tous les utilisateurs ayant accès au dossier racine du site. Cependant, selon les remarques du spécialiste en sécurité Sucuri, le problème avec ce procédé est que, si un hacker a réussi à subtiliser les accès à un site, il peut facilement mettre son propre fichier d’authentification HTML sur le serveur FTP et donc s’identifier comme l’un des propriétaires dans Google Search Console. Ils pourront alors en profiter par exemple pour présenter de nouvelles pages de spam à Google depuis une source vérifiée, obtenir des statistiques de leurs campagnes et recevoir des notifications dès qu’un code malveillant sera identifié par Google. Ces notifications leur permettront de mettre à jour leurs sitemaps, qui répertorient les URL d'un site permettant ainsi d'inclure des informations complémentaires sur chaque adresse (pour que les moteurs de recherche explorent le site plus intelligemment), afin de cacher leurs attaques.

Bien entendu, Google envoie un courriel d’alerte à chaque fois qu’un nouvel utilisateur est ajouté sur Search Console. Mais, ces messages peuvent parfois facilement être filtrés par exemple s’ils sont envoyés sur une adresse mail qui n’est pas souvent utilisée ou alors s’ils se noient dans la masse des échanges. Dans ces cas de figure, si les propriétaires ne prennent pas des actions immédiates, les pirates pourraient les enlever de la liste de vérification du service Google Console Search en supprimant les fichiers HTML de vérification du serveur. Sucuri explique que cette action ne va pas déclencher l’envoi d’un courriel.


Dans les cas où les webmestres ont pu identifier les intrusions, certains d’entre eux ont éprouvé quelques difficultés à retirer les pirates de la Google Console Search parce qu’ils sont passés par un script PHP et diverses règles de réécriture .htaccess afin de reproduire dynamiquement le fichier d’authentification HTML lorsqu’il était enlevé.

Sucuri a proposé diverses mesures aux webmestres pour se préparer à de telles éventualités. En premier lieu, ils doivent s’assurer qu’ils sont bien « vérifiés » comme propriétaires sur tous leurs sites web (en incluant les sous-domaines) dans le Google Search Console, même s’ils n’utilisent pas souvent ce service. Il existe trois méthodes alternatives de vérification acceptées par Google : à travers un fournisseur de noms de domaine, via un code de suivi Google Analytics ou, encore, avec une portion de code JavaScript à coller dans les pages. Cela évitera que des pirates suppriment leurs propres « vérifications » simplement en détruisant les fichiers correspondants sur le serveur. Enfin, à chaque fois qu’ils reçoivent des notifications relatives aux nouveaux utilisateurs ajoutés de la part de Google, les webmestres doivent impérativement les contrôler en détail. « Dans la plupart des cas, cela signifie qu’ils ont un accès complet à votre site », explique Sucuri, qui continue en disant « il faut alors intervenir sur toutes les failles de sécurité et supprimer tous les contenus malveillants que les attaquants auraient pu créer sur votre site ».

Le spécialiste explique que de tels abus deviennent de plus en plus monnaie courante. Pour illustrer ses propos, il a cité des forums où les webmestres ont signalé de nouveaux « utilisateurs vérifiés », l’un d’eux en a trouvé plus de 100.

Source : blog Sucuri

Forum Sécurité