Pourquoi retirer tous les jetons de vérification des anciens utilisateurs dans Search Console ?

Cette déclaration de John Mueller relève de la gestion administrative de Google Search Console, pas d'une directive SEO à proprement parler. Elle vise à protéger l'accès aux données de votre propriété.

Qu'est-ce qu'un jeton de vérification exactement ?

Un jeton de vérification est un identifiant technique qui prouve que vous êtes propriétaire d'un site. Il peut prendre plusieurs formes : balise HTML dans le code, fichier uploadé sur le serveur, enregistrement DNS, ou tag Google Analytics.

Le problème : même après avoir retiré un utilisateur de la liste des accès, ces jetons restent actifs. Un ancien collaborateur, prestataire ou employé pourrait techniquement s'en servir pour regagner l'accès à la propriété sans votre accord.

Pourquoi Google met-il l'accent sur ce point ?

Les fuites de données et les accès non autorisés sont un sujet sensible. Google a déjà eu affaire à des cas où des propriétés Search Console ont été compromises par d'anciens utilisateurs malveillants ou négligents.

En retirant les jetons de vérification, vous coupez définitivement la possibilité qu'un ancien utilisateur utilise un token dormant pour se reconnecter. C'est une mesure de sécurité basique, mais souvent négligée.

Quels sont les jetons concernés ?

• Balise HTML dans le <head> de votre site
• Fichier HTML uploadé à la racine du serveur
• Enregistrement DNS (TXT record)
• Tag Google Analytics ou Google Tag Manager
• Fournisseur de nom de domaine (DNS automatique via registrar)

Cette recommandation est-elle cohérente avec les pratiques observées ?

Oui, totalement. Sur le terrain, on observe régulièrement des propriétés Search Console compromises parce qu'un ancien prestataire ou employé avait conservé un jeton actif.

Le cas classique : une agence SEO installe une balise de vérification HTML, perd le contrat, mais la balise reste dans le code. Deux ans plus tard, l'agence peut toujours accéder aux données. Pas forcément par malveillance — souvent par simple négligence — mais le risque existe.

Quelles nuances faut-il apporter ?

Google ne précise pas si tous les types de jetons présentent le même niveau de risque. Un enregistrement DNS est plus difficile à exploiter qu'une balise HTML oubliée dans le code. Mais bon, Mueller ne rentre pas dans ces détails — il préfère une approche radicale : tout virer.

[À vérifier] : Google ne donne pas d'exemple concret de tentative d'accès malveillant via un jeton dormant. On est dans du conseil préventif, pas dans du retour d'expérience chiffré.

Dans quels cas cette règle ne s'applique-t-elle pas ?

Si vous gérez une grosse structure avec rotation fréquente des équipes (agence, annonceur multi-sites), supprimer systématiquement tous les jetons peut devenir ingérable. Dans ce cas, privilégiez une gestion rigoureuse des permissions plutôt qu'une purge aveugle.

Certains types de vérification — notamment via Google Analytics ou Tag Manager — sont partagés entre plusieurs outils. Retirer le tag peut impacter d'autres services. Il faut peser le pour et le contre.

Que faut-il faire concrètement ?

Première étape : rendez-vous dans Paramètres > Utilisateurs et autorisations de votre Search Console. Listez tous les utilisateurs actuels et identifiez ceux qui ne devraient plus avoir accès.

Ensuite, pour chaque ancien utilisateur, vérifiez les méthodes de vérification associées. Google vous montre quels jetons sont encore actifs. Retirez-les un par un, en vous assurant qu'au moins un propriétaire valide reste connecté.

Quelles erreurs éviter ?

• Ne jamais retirer tous les jetons sans vérifier qu'un propriétaire actif en conserve un valide
• Ne pas oublier les enregistrements DNS — ils sont invisibles dans le code source mais restent actifs
• Ne pas confondre « retirer un utilisateur » et « retirer ses jetons » : les deux actions sont indépendantes
• Éviter de supprimer des tags partagés (Analytics, GTM) sans vérifier l'impact sur d'autres outils

Comment vérifier que votre site est bien sécurisé ?

Faites un audit complet de vos méthodes de vérification. Listez chaque jeton actif, comparez avec la liste des utilisateurs autorisés, et supprimez les écarts.

Si vous utilisez une balise HTML, inspectez le code source. Si c'est un fichier, vérifiez via FTP. Pour un DNS, connectez-vous à votre registrar et examinez les enregistrements TXT.