Le détournement d’URL : qu’est-ce que c’est ?

Le détournement d’URL peut supprimer votre site Web de l’index des moteurs de recherche et le rend ainsi invisible pour les visiteurs potentiels. Ce phénomène se produit surtout lorsque des redirections sont utilisées à la place de liens.

Qu’est-ce que le détournement d’URL ?¶

L’expression « détournement d’URL » désigne un phénomène, par lequel une page Internet disparaît par erreur des résultats d’un moteur de recherche et est remplacée par une autre. Cette autre page renvoie certes à la page cible réelle, mais de manière indirecte ; il y a alors une redirection. Ainsi, le site site-associe.fr sera par exemple renvoyé à votre-site.fr, mais utilise une redirection à la place du classique tag HTML <a>. Les URL de redirection sont par exemple les suivantes :

www.site-associe.fr/redirect.php?target=www.votre-site.fr

Si un moteur de recherche trouve un lien de ce type, la page associée et le site cible vont se retrouver sur un même plan, ce qui amène l’un des deux à être effacé de l’index. Le moteur de recherche s’oriente alors vers le code de statut HTTP, qui s’appuie sur la redirection de nom de domaine.

Alors que le code 301 (Moved Permanently) décrit une redirection permanente pour l’URL donnée, le code 302 (Found) correspond en revanche à une redirection provisoire vers l’URL affichée. Le premier cas ne pose pas de problème, tandis que le second (302 redirect) peut constituer justement le détournement URL. Une redirection de cette sorte suggère au robot d’indexation du moteur de recherche que la page de destination n’existe que temporairement et que la page associée est en réalité la page d’origine. Il n’existe à ce jour pas de vérification pour savoir si les deux pages ont réellement un rapport l’une envers l’autre. Si ce n’est absolument pas le cas, la mauvaise page sera indexée et c’est l’URL de cette nouvelle page qui sera prise en compte pour le classement.

Quand les redirections 301 et 302 interviennent-elles réellement ?¶

Les redirections d’URL peuvent être utilisées pour des raisons très variables. Les redirections permanentes de ce que l’on appelle les « typo domains » constituent une pratique largement répandue. Si vous tapez par exemple dans la barre de votre navigateur googel.fr au lieu de google.fr, vous allez tout de même atterrir sur la page d’accueil du célèbre moteur de recherche. Il n’est pas inhabituel de voir que la redirection permanente renvoie vers l’adresse correcte d’une page d’un site.

Essayez par exemple de taper la page principale de Wikipedia France fr.wikipedia.org, une redirection 301 vous mènera alors à l’URL https://fr.wikipedia.org/wiki/Wikip%C3%A9dia:Accueil_principal. Par ailleurs, les webmasters utilisent souvent les redirections permanentes pour diriger les utilisateurs vers l’adresse après un changement de nom de domaine ou pour identifier de manière appropriée un contenu qui comporte une nouvelle URL.

La redirection 302 temporaire a en revanche comme fonction de base de présenter le contenu temporairement sous une autre URL, par exemple pour le rendre toujours accessible en cas de maintenance de la page d’origine. Si un webmaster produit ce type de redirection par lui-même, c’est en général pour pouvoir ensuite réutiliser l’URL originale pour la page. Il existe toutefois 3 différents scénarios de redirection temporaire qui mènent à un détournement d’URL :

Utilisation involontaire de la redirection 302¶

Il est tout à fait possible qu’un webmaster redirige temporairement vers un projet ne lui appartenant pas, sans que cela soit malintentionné. Il peut s’agir d’une méprise, alors que ce dernier souhaitait réellement établir une redirection. Le module de redirection URL Rewrite-Engine du serveur Web Apache mod_rewrite met également en place une redirection standard avec le code de statut 302.

URL générées dynamiques¶

PHP est un format fixe dans le développement Web. Les scripts côtés serveur dans ce langage de programmation particulièrement apprécié constituent un moyen simple et pratique de créer des contenus dynamiques pour votre site Web. Souvent, ce sont toutefois aussi des scripts PHP qui intègrent l’adresse de destination de manière dynamique dans une URL existante et utilisent ainsi le code de statut 302 pour effectuer une redirection temporaire. Ce type de script intervient surtout dans les répertoires d’adresses Web mais aussi avec les systèmes de gestion de contenu (CMS).

Détournement volontaire d’une URL¶

Il n’est pas rare de voir des personnes malintentionnées recourir au détournement d’URL. Elles utilisent les redirections 302 volontairement pour forcer l’indexation de leur propre contenu et essaient par la même occasion d’affecter le classement de sites particulièrement bien référencés. Ces procédés sont toutefois inefficaces sur le long terme et ne sont bien sûr pas considérés comme de bonnes pratiques, appartenant ainsi au SEO Black Hat.

Le détournement d’URL : comparaison avec d’autres méthodes d’attaque¶

Le détournement d’URL est souvent confondu avec d’autres méthodes d’attaque comme le détournement de domaine ou le typosquatting. Ces attaques suivent certes un procédé différent, mais ont un objectif similaire : vous nuire à vous ou au classement de votre site Web.

Détournement d’URL vs détournement de domaine¶

Bien que le détournement d’URL et le détournement de domaine soient tous deux utilisés dans le but de prendre le contrôle d’un site Web, les deux méthodes d’attaque se distinguent notamment par leur approche : pour les cyberpirates, le détournement de domaine consiste à prendre le contrôle d’un domaine en accédant aux comptes d’administration. Pour ce faire, ils modifient par exemple les paramètres DNS. De cette manière, ils peuvent, dans le pire des cas, prendre le contrôle de l’ensemble de la présence Web de la victime.

Détournement d’URL vs typosquatting¶

Comme son nom l’indique, le typosquatting est une technique de cyberattaque qui exploite de manière intentionnelle les erreurs de frappe. Normalement, lorsqu’une petite faute de frappe se produit, des redirections sont utilisées pour accéder au site Web correct. Cependant, le typosquatting fonctionne de manière différente : les pirates enregistrent délibérément des domaines avec des fautes de frappe courantes dans le but de rediriger les visiteurs vers leur propre site Web, qui contient souvent des codes malveillants.

Comment protéger son projet Web des détournements d’URL ?¶

Les professionnels chargés d’améliorer le référencement d’un site Web savent bien comment ce travail peut être considérable et exiger du temps. Plus vous obtiendrez les bonnes grâces du moteur de recherche et plus le risque d’un détournement éventuel sera non négligeable pour la page indexée. Contrairement au cas d’une attaque informatique, qui exploite par exemple des failles dans votre projet Web, les processus de détournement d’URL sont étroitement liés à la discipline SEO de base du linkbuilding, ce qui ne permet pas de s’en prémunir avec de simples logiciels de sécurité.

Par conséquent, il est impératif d’analyser régulièrement vos backlinks nouveaux ou déjà existants afin de repérer les URL problématiques. Pour cela, vous pouvez vous aider de nombreux outils et services :

• SEMrush
• LinkResearchTools
• SISTRIX
• Google Search Console

Le dernier service appartenant à Google propose un outil pour supprimer les URL, pour effacer de l’index de recherche les redirections non désirées qui renvoient à votre site. Au préalable, il est néanmoins toujours nécessaire de contacter le webmaster concerné et de lui demander d’ajuster la redirection ; ainsi, vous pourrez maintenir le bon backlink. Par ailleurs, avec le code de statut 307 (Temporary Redirect), il existe même depuis http 1.1 une option pour les redirections temporaires, qui permet d’éviter le détournement d’URL.

Si la page d’origine a déjà disparu de l’index, vous pouvez (après suppression du backlink endommagé) contacter le fournisseur du moteur de recherche pour demander une remise en place du classement initial.