Comment Google Webmaster Tools détecte-t-il les malwares et faut-il vraiment compter sur sa révision ?

Pourquoi Google fournit-il ces données aux propriétaires de sites ?

Google détecte les infections par malware lors du crawl régulier de vos pages. L'objectif est double : protéger les utilisateurs contre des contenus malveillants et alerter les webmasters que leur site est compromis. Sans cet outil, un site infecté pourrait rester invisible pour son propriétaire pendant des semaines, tout en étant blacklisté dans les résultats de recherche.

La Search Console (successeur de Webmaster Tools) liste les URL infectées avec le type d'infection détecté. Cette transparence permet d'identifier rapidement les vecteurs d'attaque : injection de scripts, redirections malveillantes, phishing, téléchargements furtifs. Pour un SEO, c'est la différence entre une pénalité temporaire et un bannissement prolongé.

Quels types d'infections Google détecte-t-il concrètement ?

Google catégorise les malwares en plusieurs familles : trojans, backdoors, scripts d'injection SQL, redirections conditionnelles (visibles uniquement pour les Googlebots), pages de phishing imitant des interfaces bancaires, et téléchargements involontaires de fichiers exécutables. Chaque type génère une alerte spécifique dans la console.

La détection repose sur l'analyse comportementale et les signatures connues. Si votre site héberge du code obfusqué qui tente d'exploiter des failles navigateur, ou si des redirections Javascript pointent vers des domaines suspects, Google le signale. Le problème ? Les infections zero-day ou les malwares polymorphes peuvent échapper à la détection initiale.

Comment fonctionne la procédure de révision après nettoyage ?

Une fois votre site désinfecté, vous soumettez une demande de révision via la Search Console. Google re-crawle les URL signalées pour vérifier que l'infection est éliminée. Le délai de traitement varie de quelques heures à plusieurs jours selon la gravité et le volume de pages concernées.

Ce que Google ne dit pas franchement : la révision n'est pas instantanée, et certains sites restent en quarantaine partielle même après validation. Les critères de réhabilitation complète ne sont jamais détaillés, ce qui laisse les SEO dans le flou sur les actions exactes à mener au-delà du simple nettoyage.

• Google crawle en permanence et détecte automatiquement les malwares lors de l'exploration de vos pages.
• Les types d'infections signalées incluent trojans, redirections malveillantes, phishing, et scripts d'injection.
• La demande de révision via Search Console déclenche un re-crawl ciblé, mais le délai de validation reste imprévisible.
• Un site infecté subit une perte de visibilité immédiate dans les SERP, avec avertissement affiché aux utilisateurs.
• La détection automatique ne garantit pas une couverture à 100% des menaces zero-day ou obfusquées.

Cette déclaration est-elle cohérente avec les pratiques observées sur le terrain ?

Oui, dans les grandes lignes. Les alertes malware dans la Search Console sont fiables pour les menaces courantes, et le système de révision fonctionne dans la majorité des cas. En revanche, la transparence s'arrête là. Google ne communique jamais sur la profondeur de son analyse : combien de pages sont réellement crawlées lors d'une révision ? Quels signaux déclenchent une prolongation de quarantaine ?

Concret : j'ai vu des sites nettoyés rester marqués pendant 10 jours après la demande de révision, sans explication. D'autres, réhabilités en 48h. La variabilité des délais suggère soit un traitement manuel pour certains cas, soit des critères de sévérité non documentés. [A vérifier] : Google n'a jamais publié de métriques sur le taux de faux positifs ou la latence moyenne de révision.

Quelles nuances faut-il apporter à cette fonctionnalité ?

Premier point : Google détecte ce que ses crawlers peuvent voir. Les malwares qui ciblent uniquement les visiteurs organiques (cloaking inversé) ou qui s'activent en fonction de l'IP géographique passent parfois sous le radar. J'ai documenté des cas où des redirections malveillantes étaient servies uniquement aux utilisateurs français, invisibles pour les crawlers basés aux États-Unis.

Deuxième nuance : la révision ne garantit pas la réindexation rapide. Même une fois validé, votre site peut rester pénalisé en termes de ranking pendant plusieurs semaines. Les utilisateurs continuent de voir un avertissement résiduel, et le trust score met du temps à se reconstruire. Autrement dit, nettoyer le malware ne suffit pas, il faut aussi reconstruire la confiance algorithmique.

Dans quels cas cette procédure échoue-t-elle ou reste-t-elle insuffisante ?

Cas typique : infections récurrentes. Si vous nettoyez la surface sans corriger la faille d'origine (plugin WordPress obsolète, permissions serveur laxistes, backdoor dans un thème), le malware revient en quelques jours. Google détecte la réinfection et votre demande de révision est rejetée, parfois sans précision sur la cause.

Autre problème : les faux positifs. Certains scripts légitimes de tracking ou de fingerprinting déclenchent des alertes. Vous devez alors prouver à Google que le code est intentionnel et non malveillant, processus qui peut prendre plusieurs échanges. Enfin, les sites multi-domaines ou avec CDN complexes peuvent générer des alertes sur des ressources tierces que vous ne contrôlez pas directement.

Que faut-il faire concrètement dès qu'une alerte malware apparaît ?

Isoler immédiatement les URL infectées. Si possible, mettez-les hors ligne le temps du nettoyage pour éviter la propagation et limiter l'exposition des visiteurs. Ensuite, analysez les logs serveur pour identifier le vecteur d'infection : upload de fichiers suspects, requêtes SQL anormales, accès FTP non autorisés.

Lancez un scan complet de votre infrastructure avec des outils spécialisés. Ne vous contentez pas de supprimer les fichiers infectés visibles : cherchez les backdoors, les utilisateurs administrateurs fantômes, les tâches cron malveillantes. Un malware bien conçu laisse toujours une porte dérobée pour se réinstaller.

Comment garantir que la demande de révision sera acceptée rapidement ?

Documentez le processus de nettoyage dans la demande de révision. Précisez les actions menées : mise à jour des plugins, changement des mots de passe, suppression des fichiers infectés, scan de validation. Google apprécie les détails techniques qui prouvent que vous avez compris l'origine de l'infection.

Vérifiez que toutes les URL signalées renvoient un code 200 propre ou sont supprimées (404/410). Ne laissez aucune page en 500 ou avec du contenu résiduel suspect. Testez manuellement chaque URL dans un navigateur propre, en mode navigation privée, pour vérifier l'absence de redirections ou de scripts cachés.

Quelles erreurs éviter pour ne pas prolonger la quarantaine ?

Erreur fréquente : soumettre une demande de révision avant d'avoir corrigé la faille. Google re-crawle, détecte que l'infection persiste ou revient, et vous perdez en crédibilité. Résultat : les révisions suivantes sont scrutées avec plus de sévérité.

Ne négligez pas les ressources externes. Si votre site charge des scripts depuis un CDN compromis ou un domaine tiers infecté, Google considère votre site comme vecteur. Auditez tous vos appels externes (JS, CSS, iframes) et remplacez ou supprimez les sources douteuses. Enfin, évitez de cacher le problème via du cloaking : Google détecte ces manipulations et les sanctionne encore plus lourdement.

• Installer un plugin de sécurité avec scan automatique (Wordfence, Sucuri, iThemes Security).
• Mettre à jour tous les plugins, thèmes et CMS avant de demander la révision.
• Changer tous les mots de passe : FTP, base de données, admin CMS, SSH.
• Supprimer les comptes utilisateurs suspects ou inactifs depuis longtemps.
• Vérifier les permissions fichiers sur le serveur (chmod 644 pour les fichiers, 755 pour les dossiers).
• Activer un WAF (Web Application Firewall) pour bloquer les attaques futures (Cloudflare, Sucuri).