Les certificats gratuits pour le HTTPS de Let\'s Encrypt abusés par des pirates

Crypter tout le trafic web a toujours été considéré comme un objectif clé pour la sécurité internet, mais il y avait deux principaux obstacles à cela.

Les certificats gratuits HTTPS de Let\'s Encrypt

site web en HTTPS.

Deuxièmement, les certificats SSL eux-mêmes ne sont pas toujours faciles à mettre en place par le premier webmaster venu.

L’organisation Let’s Encrypt, soutenue par des géants du Net tels que Akamai, Cisco, the Electronic Frontier Foundation (EFF), et Mozilla, a été créée avec pour objectif d’éliminer les deux obstacles cités plus haut.

Le but de ce projet sera donc de fournir des certificats SSL gratuits à tous les propriétaires de sites web qui en feront la demande.


Toutefois, le risque potentiel pour Let’s Encrypt d’être abusé par des pirates a toujours existé.

Il y a donc à peine un mois, Let’s Encrypt a ouvert son programme bêta pour offrir des certificats gratuits au public. Seulement voilà.

C’est l’entreprise de sécurité informatique Trend Micro qui a tiré la sonnette d’alarme pour alerter les utilisateurs japonais qui naviguaient sur des sites en HTTPS via Let’s Encrypt et prévenir qu’ils transitaient en fait sur des serveurs malveillants.

Ces serveurs hébergeaient un système piraté dénommé Angler Exploit Kit

Trend Micro affirme que le pirates utilisent une technique appelée “domain shadowing” ( invisible) à partir de laquelle ils réussissent à accéder à un nom de domaine de confiance (par exemple, le site web principal d’une banque) pour rediriger les utilisateurs infectés vers un serveur qu’ils contrôlent et hébergent ailleurs.

Et ce, tout en dissimulant leur activité en utilisant un sous-domaine protégé par un certificat de sécurité de Let’s Encrypt.

L’organisation Let’s Encrypt affirme de son côté que cela est possible parce que Let’s Encrypt vérifie uniquement les noms de domaine par le biais de “Google safe browsing API” avant de délivrer des certificats HTTPS.

Safe Browsing (ou \ »Safe Browsing\ ») est un service fourni gratuitement par Google pour sécuriser la navigation. Il est inclus, nativement, dans plusieurs navigateurs et permet, via plusieurs filtres, de rechercher en permanence la présence du nom de domaine (site Internet) de chaque lien (URL) sur lequel vous cliquez (lien dans les pages Web visitées, liens des résultats de recherches avec un moteur de recherche, etc. …) dans deux listes noires.

Cette précaution préalable de Let’s Encrypt via Google Safe Browsing n’empêche pas que des pirates obtiennent un certificat et créent des sous-domaines avec des malwares sous l’apparence d’un site légitime.

Selon le rapport de Trend Micro, l\’incident met en évidence les problèmes potentiels avec le service gratuit de Let\’s Encrypt et demande instamment à l\’organisation d\’être disposée à annuler immédiatement les certificats qui auraient été utilisées à mauvais escient.

Affaire à suivre…

Google Search Console va mieux cibler les destinataires de ses messages d\'alerte

+Gary Illyes, Webmaster Trends Analyst chez , vient de publier le post ci-dessous pour annoncer un changement à venir dans Google Search Console (ex Google webmaster Tools).

Selon Gary Illyes, dans les toutes prochaines semaines, Console va changer comment et à qui il envoie les messages d’alerte et les notifications concernant les sites web validés.

Google Search Console

Gary Illyes annonce donc que les propriétaires de ces plateformes ne recevront plus de messages, concernant des ou virus par exemple, à propos des sites ou blogs qu’ils hébergent à titre gratuit ou payant en sous-domaine.

Pour ma part, je pense que cela éviterait que les administrateurs de ces sites soient dorénavant surpris par une pénalité manuelle ou une quelconque désactivation de la part de Google. N’ayant pas reçu de message d’alerte, ils ne peuvent agir rapidement.

Ainsi, avec comme exemple de site en sous-domaine “wordpress.com/monsite”, ce n’est plus “Wordpress.com” qui recevra les messages d’alerte provenant de , mais bel et bien le propriétaire de “monsite” hébergé par wordpress.com qui recevra les messages.

Google Domains bientôt disponible à l\'international

Google Domains, le service d’enregistrement et de gestion de noms de domaine de vient finalement d’être ouvert à tous les résidents américains.

Google Domains bientôt disponible à l\'international

Il était jusqu’ici en mode bêta et n’acceptait des utilisateurs que sur invitation.

Le service de Google Domains propose dans un tableau de bord plusieurs options pour créer et gérer une présence sur le web :

  • Utiliser l’une des plateformes de création de sites en ligne et partenaires de ce projet tels que Shopify, Squarespace, Wix et Weebly.
  • Utiliser l’outil de redirection pour rediriger le trafic de votre nom de domaine directement vers votre site.
  • Utiliser votre nom de domaine comme un domaine personnalisé pour Blogger ou Google Sites. Un marché énorme pour Google !

, la création de 100 sous-domaines et la redirection.

Les frais d’enregistrement commencent à 12 dollars par an. Et des frais supplémentaires pourraient s’ajouter si l’utilisateur passe par les partenaires de Google qui offrent la possibilité de créer un site directement en ligne, de façon intuitive.

Et ce n’est pas tout !

Avec , vous pourrez acheter des noms de domaine, en vendre vous-même et créer 100 adresses email par domaine.

Google s’engage à ne pas rendre publiques les données personnelles de chaque propriétaire de noms de domaine. Et ce, sans frais supplémentaires, contrairement à la très grande majorité des registrars actuels.

En plus des extensions de nom de domaine génériques (.com, .net, etc.), Google Domains propose plus 60 extensions telles que .maison, .pub, .social, .us, .ninja, etc… Mais, les extensions nationales de premier niveau (.fr, .be, .ca, .de, etc.) ne sont pas encore disponibles.

Cette généralisation du service Google Domains ne concerne donc pour l\’instant que les Etats-Unis.

Mais, sans avoir donné de calendrier pour sa généralisation à l’international, Google propose déjà un formulaire à remplir à tous ceux qui souhaitent être informés de la disponibilité de Google Domains dans leur pays.

Ce qui laisse bien augurer d’un déploiement à l’international dans les semaines à venir.

Google Domains propose l\'enregistrement de nom de domaine



Google Domains propose l\'enregistrement de nom de domaine

Un service qui atteste de la volonté de à devenir un Registrar à part entière pour proposer la réservation de .

Mais, du fait que Google Domains n\’inclut pas pour l\’instant d\’hébergement web, Google va proposer ce service en partenariat avec des plateformes de création de site et d\’hébergement web telles que Squarespace, Wix, Weebly and Shopify.

Pour l\’instant, la plateforme de création de sites dénommée Appetas que Google a rachetée il y a peu n\’en fait pas partie. Sans doute que ce n\’est que partie remise à moins qu\’il ne propose Appetas qu\’aux entreprises pratiquant des métiers dit de bouche (restaurants, cafés, cours de cuisine, brasseries et autres).

Lorsque Google Domains sera disponible publiquement, pour l\’instant il est en mode bêta aux Etats-Unis, tout le monde pourra acheter et vendre des noms de domaine à partir de ce service.

Mais, contrairement à tous les autres Registrars, Google ne vous fera pas payer de frais supplémentaires pour masquer vos informations personnelles pour tout nom de domaine acheté ou transféré sur son service.

Les fonctionnalités de Google Domains

  • Chaque nom de domaine coûtera 12 dollars par an. Soit moins de 9 euros.
  • Pas de frais supplémentaires pour conserver vos données de contact personnelles en mode privé (enregistrement ou transfert). C\’est une option que vous pouvez choisir librement.
  • Vous pouvez créer jusqu\’à 100 adresses email avec votre nouveau domaine (exemple : contact@ma_societe.com).
  • Vous pouvez rediriger votre nom de domaine vers un site existant (en sous-domaine ou pas). Par exemple, faire pointer monsite.com vers monsite.fr.
  • Vous pouvez créer jusqu\’à 100 sous-domaine à partir de votre domaine principal enregistré. Par exemple, blog.monsite.com.
  • Vous disposez d\’un espace de gestion et d\’administration de votre nom de domaine (CNAME records, etc.)
  • Vous disposez d\’un outil de création de site sans aucune saisie de code HTML (CMS) dès l\’achat ou le transfert de votre domaine.
  • Pour l\’instant, vous ne pouvez enregistrer des noms de domaine qu\’en .com, .net, .org et .biz. Mais Google Domains proposera bientôt les nouvelles extensions telles que .guru et .club, etc. Ainsi que des extensions nationales de premier niveau telles que .ca, .fr, ou .be…

Le lancement de Google Domains est somme toute finalement logique dans la mesure où Google est accrédité Registrar depuis plusieurs années. C\’est donc un service qui devrait parfaitement s\’intégrer avec les solutions Google pour les entreprises.

Pourquoi le nombre d\'URLs indexées peut-il baisser dans Google Webmaster Tools ?

Google Webmaster Tools




Depuis son annonce du 31 mars dernier



un post

Pour le cas de ce webmaster, John Mueller a laissé entendre que la réduction des données de son site à la date de mise à jour mentionnée à la page \ »

Alors, John Mueller recommande au webmaster de vérifier en faisant une recherche sur à partir de la commande \ »site:votredomaine.com

Par contre, si vous voulez que Google indexe et comptabilise les URLs de la version WWW et celles de la version sans-WWW, vous devez faire vérifier et valider ces 2 versions dans Google Webmaster Tools.

Qu\’est-ce qui a changé depuis fin Mars?

Auparavant, quelle que soit la version validée ou quel que soit le sous-domaine ou le répertoire, Google affichait des statistiques globales de vos données sans faire de distinction.

Maintenant, Sur la page \ »\ », vous ne pouvez consulter que les données du site sélectionné et validé dans les outils pour les webmasters.

dit Google  :

.

http://www.exemple.com/blog/

Pour conclure, retenez que le nombre total d\’URLs de l\’index Google affiche la totalité des URLs pouvant figurer dans les résultats de recherche, ainsi que d\’autres URLs que Google peut découvrir autrement (Par exemple une page en NoIndex qui reçoit quand même un backlink…).

Ce nombre change au fil du temps, à mesure que vous ajoutez ou supprimez des pages. Le nombre d\’URLs indexées est souvent bien inférieur au nombre d\’URL explorées, car le Nombre total de pages indexées n\’inclut pas les URL en double, les URL non canoniques, les URL peu utiles ou qui contiennent une balise Meta noindex.

Voici maintenant comment bien référencer votre site internet sur Google.

Majestic SEO s\'apprête à lancer son moteur de recherche

Logo Majestic seo




Ce qui devrait, selon Majestic SEO, représenter une véritable opportunité pour les inbound Marketeurs, les responsables publicité, les professionnels de communiqués de presse, les business analystes, les référenceurs , etc.

Pour quels objectifs ?

Ainsi, pour les +700 milliards de pages web présentes dans son Fresh Index

Le Topical Trust Flow avec les notes de confiance par catégorie attribuée à une page ouà un site – source : MajesticSeo

Un moteur de recherche nommé Majestic SEO ?

It will also help us to rank websites on our own search engine in the coming months\ ».

Pour clarifier les choses, Majestic SEO organise un webinar le 30 avril prochain pour répondre à toutes les questions.

Pirater la 1ère page de résultats de Google ? C\'est possible…

Première page de résultats.



Dan Petrovic a donc rédigé un article pour expliquer comment il est parvenu à pirater en lui faisant afficher en première page de résultats des copies de contenus en lieu et place des originaux.

Dan Petrovic explique le fonctionnement de Google

Dan explique avant tout, selon lui, comment fonctionne Google pour afficher les résultats de recherche :

“Google’s algorithm prevents duplicate content displaying in search results and everything is fine until you find yourself on the wrong end of the duplication scale. From time to time a larger, more authoritative site will overtake smaller websites’ position in the rankings for their own content. Read on to find out how exactly this happens.”
“When there are two identical documents on the web, Google will pick the one with higher PageRank and use it in results. It will also forward any links from any perceived ’duplicate’ towards the selected ‘main’ document.”

Les tests effectués par Dan Petrovic

Quatre sites vont être des victimes volontaires (ayant donné leur accord) du testeur. Je vous présente les 3 cas suivants de ce test :

Cas de MarketBizz

  • Le 26 octobre 2012
  • Le 30 octobre 2012, soit 4 jours plus tard, il avait réussi a \ »piraté\ » la  page de résultats de Google. Non seulement son nouveau sous-domaine (URL) créé pour le test a remplacé la page copiée sur Google, mais en plus, en lançant la commande info:

Le contenu dupliqué remplace le contenu original sur Google

Cas de Dumb SEO Questions

  • Le 30 octobre 2012
     
  • Le 1er novembre 2012

Le cas de Shop Safe

Toujours selon la même méthode, un sous-domaine est créé et un contenu de Shopsafe est copié afin de créer une nouvelle page dans le nouveau sous-domaine afin de tester cette fois-ci la balise rel=\ »canonical\ ». Laquelle balise a été supprimée dans la nouvelle page créée.

info: !

Les observations de Dan Petrovic


  •  

  •  
  • Des URLs absolus pour vos liens internes.
     
  • CopyScape et Google Alertes pour surveillez vos contenus afin de vite réagir.

Mise à jour du lundi 19 octobre 2012

Bien référencer son site internet sur Google
Bien référencer son site internet sur Google