Comment retrouver l’auteur d’un Blast SEO ?
22 commentaires
Il y a plusieurs façons de faire du NSEO (Negative SEO), l’une d’entre elle consiste à dénaturer la structure de liens d’un site web de telle façon que Google perçoit une sur-optimisation SEO, un abus (liens en masse non pertinents) et considère le site ciblé comme un site abusant les limites fixées par les « guidelines » de Google.
Les effets du NSEO peuvent être radicaux puisque Google peut en effet pénaliser dans les rankings le site en question sur les requêtes visées voire plus si le NSEO est de grande ampleur.
En ce qui nous concerne, comme nous l’avions expliqué dans un article de février dernier dans lequel nous relations l’attaque NSEO que nous avions subi, il s’agissait d’une attaque de type SpamCo (Blast) en masse avec toujours le même texte très court (« thank you for this post »), la même ancre et aucune contextualisation.
Nous avons bien évidemment immédiatement fait le nécessaire (lire l’article mentionné plus haut pour plus d’information) pour ne pas être atteint par ce genre d’attaque en utilisant notamment l’outil de désaveux de liens de la Search Console et a priori pour le moment nous n’avons pas été affecté par ce NSEO (notre ranking n’en a pas souffert depuis).
Nous pourrions l’être dans le futur et c’est pourquoi il est important pour nous de savoir qui en est l’auteur. C’est pourquoi nous avons travaillé main dans la main avec quelques experts SEO et voici la méthode que ces derniers ont employée pour retrouver la source de ce NSEO raté.
Méthode pour retrouver l’auteur d’un blast par spam de commentaires
Nous espérons sincèrement que cette méthode servira à notre lectorat pour dans un premier temps se prémunir de telles attaques mais aussi pour pouvoir se défendre, ou tout simplement connaitre l’origine des problèmes d’un site.
Les footprints
Venons-en à la méthode. Lorsqu’une attaque de type blast par spam de commentaires est lancée, celle-ci repose sur un ou des textes de commentaires (spinnés ou non), un ou des emails (aléatoire ou non), une ou plusieurs IPs et bien sûr les heures et dates auxquelles ont été envoyés les commentaires. Autant de footprints pour pouvoir « tenter de » remonter à la source. En passant, si vous n’êtes un SEO Black Hat aguerri, habitué à faire ce genre d’attaque NSEO, il est très probable que vous laissiez des traces. Et c’est le cas ici.
L’idée de la méthode est dans un premier temps de trouver un pattern d’attaque en analysant les backlinks créés depuis les commentaires soumis. Nous préconisons un de ces outils pour analyser vos backlinks (Majestic, Ahrefs, Open Site Explorer) qui feront l’affaire puisque les liens en masse ne sont pas cachés.
Si vous n’avez pas accès à ce genre d’outils vous pouvez repérer quelques liens depuis Google Analytics, dans le trafic de type referral et ensuite trouver un pattern et faire une recherche avancée dans Google. En effet certains sites qui acceptent n’importe quels commentaires sans modération laissent entrevoir l’IP ou l’email du rédacteur du commentaire.
Certains sites laissent des traces
- Tips : Lorsque vous étudiez les backlinks créés par le blast de SpamCo, le plus simple est de se focaliser sur les liens provenant de sites coréens, certaines plateformes utilisées en Corée laissent des traces telles que l’IP depuis laquelle les outils GSA ou Xrummer sont lancés.
C’est ainsi que nous avons pu retrouver l’email utilisé : En faisant une simple recherche avancée sur Google avec le commentaire: « Thank you for this post » et l’ancre « agence seo », nous avons pu visiter des dizaines de pages où les backlinks avaient été créés. Nous sommes tombé sur une URL d’un site japonais utilisant un Guestbook en cgi nommé YY-Board. Le lien sur l’ancre « agence seo » étant mailto:contact@eskimoz.fr.
- Source : http://www.hiroshimawebtv.com/hiroshima/e45/cgi-bin/yyregi.cgi?mode=past&pastlog=3975&page=400&bl=4
Sachant que cette information capitale nous sommes allé directement la consulter sur les logs de spam sur https://cleantalk.org.
Qu’est-ce que Clean Talk ?
Clean Talk est un outil antispam pour blogs dans le même esprit qu’Akismet mais en payant. Il a longtemps était connu pour sa base de données consultable sur simple ouverture de compte (gratuit). Maintenant les choses sont plus simples puisque les informations sont à la vue de tous. Vous pouvez donc faire des recherches par IP ou par email pour savoir si un site ou un email a été pris un jour en flagrant délit de SpamCo ou de NSEO. Très pratique !
Disclaimer
Avant d’aller plus loin nous aimerions clarifier quelque chose. Vous allez comprendre dans ce qui suit que nous avons volontairement flouté certaines informations afin que l’entreprise ou la personne à l’origine de ce blast n’apparaisse pas. En effet il peut s’agir d’une personne en interne qui a agi seule sans rien communiquer à sa direction, qui a pu faire cela avec la pression d’atteindre ses objectifs ou qui n’est peut-être plus dans l’entreprise tout simplement. Nous avons donc pris le parti de communiquer sur la méthode plutôt que de donner des noms.
Nul ne doute qu’avec les informations contenues dans ce post, certains pourront reconstituer le puzzle et comprendre d’eux-mêmes de qui il s’agit mais nous avons fait en sorte que cela ne soit pas nous directement qui fournissions les noms et ce par souci de bienveillance.
Grace à Cleantalk nous avons donc pu voir beaucoup d’IPs utilisées par le « spammeur » en filtrant cet email. Au total 47 tentatives de spam de commentaires ont été stoppé par CleanTalk signé de l’email contact@eskimoz.fr
Une IP a retenu notre attention : l’IP la plus utilisée (en tout cas la plus bloquée). CleanTalk permettant de filtrer le spam envoyé depuis une IP nous avons pu voir que cette IP était flaggée depuis 2014, que les ancres des liens étaient toutes des ancres en français et que la dernière utilisation de cette IP était associée à un email d’une agence SEO qui s’avère être concurrente dans les SERPs d’Eskimoz…
En ayant été bloqué par CleanTalk en mars 2016 nous imaginons que n’importe quel commentaire réel envoyé post-NSEO depuis la même IP serait de nouveau bloqué. Ce qui pourrait expliquer la présence de cet email d’agence. Il nous fallait maintenant confirmer notre suspicion.
Recouper les informations liées au blast
Une autre information intéressante est qu’un autre email de l’entreprise est rattaché à cette IP (voir screenshot ci-dessous). Pour le savoir il nous a suffi de prendre tous les noms des employés de l’agence et de tester leurs emails en bulk dans CleanTalk.org, avec le format prenom@entreprise.com (à l’exception d’un email avec initiales).
- Tips : Pour connaitre le format des emails d’une entreprise nous avons utilisé emailhunter.co en version gratuite.
- Tips : Si vous n’avez pas de compte pro sur Sellhack ou EmailHunter vous pouvez lister les employés d’une entreprise sur Google grâce à la recherche avancée suivante et ensuite générer les emails suivant le format d’email de l’entreprise :
site:fr.linkedin.com/in/* OR site:fr.linkedin.com/pub/* -inurl: »dir/+ » -intitle: »profiles » « nom de l’agence » – »keyword non pertinent »
Une activité sur Wikipedia avant l’attaque Blast
En recherchant l’IP sur Google nous avons eu la surprise de voir qu’elle était déjà connue de Wikipedia et en recherchant les articles modifiés par cette IP nous sommes tombé sur deux modifications qui avaient pour but d’ajouter des backlinks vers cette même agence, 2 ans avant que le NSEO contre Eskimoz.fr se fasse ! Pour pouvoir voir les modifications faites à l’époque sur les 2 articles en question il faut cliquer sur « diff » autrement dit la différence entre la version précédente et celle générée par notre spammeur.
Ceci confirme donc notre suspicion sur l’agence SEO..
Un mot sur la méthode
La méthode ici expliquée est bonne pour remonter l’IP d’un NSEO (que ce soit un VPN, un PROXY ou l’IP réelle du spammeur) et ensuite « tenter de » recouper les infos pour voir ce qui a été fait sur le web avec cette même IP à la même époque (ou pas). Dans le cas où un spammeur utilise la méthode spamco « à bon escient » (c’est-à-dire pour pousser un site) on peut tenter d’analyser les sites visés avec la même IP ou les mêmes spots (afin de voir d’éventuels clients par exemple).
A noter que si un spamco est bien fait il sera très difficile de le remonter. Le souci est que dans le cas en présence, l’entreprise a utilisé sa propre IP pour spammer ! #FAILSEO Ce qui a grandement facilité les recherches.
Fin mot de l’histoire
Comme si c’était vraiment nécessaire nous avons procédé à un whois de l’IP et là aussi le résultat corrobore notre analyse : http://www.ip-adress.com/whois/. Ce site nous donne carrément le nom du groupe à qui appartient l’agence SEO (avec sa plage d’IP allouée).
NDLR : A noter que depuis très peu (depuis les vérifications faites vendredi 9 octobre) le whois de cette IP a changé pour un autre nom d’entreprise qui partage le même dirigeant et la même adresse ! Heureusement le cache de Google, Societe.com et LinkedIn sont nos amis… Voir les screenshots ci-dessous.
Avant
Après
Nous espérons que ce cas pratique vous aidera à retrouver les concurrents malveillants à votre égard. Sinon, n’hésitez pas à nous contacter pour qu’on jette un oeil !
Vous souhaitez en savoir plus sur la mise en place d’une stratégie SEO ?
N'hésitez pas à nous contacter dès à présent !
Bien joué, manque que leur nom !
@David Il y a assez d’info dans les screenshots ci dessus pour remonter jusqu’a eux 😉 , à vous de décortiquer…
Extrêmement intéressant cet article ! Un client est en litige avec l’agence SEO en question, sans les citer 😉 ces derniers ayant facturé 15.000€ de prestation pour une partie des réalisations sous-traitées en Roumanie (je n’ai rien contre les dev roumains cela dit) pour … 400€. Ils sont extrêmement malhonnêtes, mais très bons commerciaux. Et de mémoire, à l’époque (en 2015), ils avaient cité Eskimoz comme une agence SEO qui allait « sauter » dans pas longtemps … vraiment très très intéressant…
David, ça m’a pris 30s pour trouver qui est le coupable 😉
A savoir que j’ai été client de cette agence … et que j’ai résilié 3 mois après pour cause de retards énormissimes et de fichier excel sorti d’adwords facturé 7 000 balles (un soi-disant audit de mots clefs, avec des mots clefs mal orthographiés et des top KW qui n’étaient pas dedans …)
Bref, connaissant les loustics, ça ne m’étonne pas du tout cette attaque.
Bonjour Andréa,
Passionnant, tout simplement. Concernant votre cas, une attaque juridique est prévue ?
Bonjour Yohann,
Merci de nous suivre ! 🙂
Nous sommes en pleine réflexion à ce sujet car nous sommes partagés entre la volonté de faire avancer le droit concernant ce genre de pratiques et l’investissement que cela demande face à une législation totalement en retard vis à vis du négative SEO.
On ne manquera pas de vous tenir au courant dans tous les cas 😉
A très vite.
C’est rigolo quand même de faire ça avec son IP, faut vraiment être un boulet…
On peut aussi penser que ce n est pas du NSEO mais un test et vous avez été bêta testeur ?
En tout cas, article bien sympa que je partage aussitôt et je m empresse de spammer avec beaucoup d’amour <4
Hyper intéressant… et bien joué 🙂 concernant CleanTalk, vous l’utilisez au quotidien pour d’autres problématiques ? Merci d’avoir partagé cette expérience, ça fait plaisir !
Merci pour ce retour d’expérience, qui pourra me servir à un jour (je ne l’espère pas :p).
J’aimerais moi aussi avoir le nom de l’entreprise qui a fait ça, j’espère que vous pourrez le publier un jour ou l’autre. Même si ce n’est pas simple pour le moment je l’imagine.
Utiliser son IP pour spammer … J’ai du mal à imaginer ça venant d’une grosse agence concurrente… C’est plus qu’un fail.
@David, tu peux facilement trouver le nom de l’agence avec l’IP et le mail, t’as juste à taper « spam eskimoz » sur Google et t’as le résultat Clean Talk. A partir de là, rien de plus simple.
Intéressant comme article en tout cas.
Bonjour Andrea,
Eh bien je crois que procès ou pas, chacun pourra de faire son opinion sur le sujet. Il ne faut que quelques minutes pour trouver l’agence SEO concurrente coupable, grâce à toutes les informations que vous livrez dans ce petit guide à l’attention des victimes de NSEO.
Bravo pour votre pugnacité et votre perspicacité ! J’espère que ce cas d’école dissuadera d’autres petits malins d’essayer d’user de telles pratiques, trop coûteuses et trop risquées. Et pour un résultat nul comme démontré ici !
J’avoue que je ne connais à peu près rien sur le sujet mais il y’a des astuces et des logiciels/sites bien utiles. Je prends des notes !
Bonne continuation à vous.
Et ben c’est du jolie…perso je vois pas de quelle agence il s’agit mais article intéressant puis ce retour peut servir à pas mal de monde. Après c’est clair que juridiquement c’est pas du tout un gain de temps et ça reste compliqué mais c’est ce que se disent ce genre d’agence.
Par contre je comprends pas pourquoi ne pas citer leur nom, autant aller jusqu’au bout et ça pourrait freiner ce genre de pratique. En tout cas la meilleure des réponses restent le badbuzz et je suis certain que vous ne manquez pas de contact 😉
Ca serai moi je me placerai sur le nom de leur marque avec une jolie pub 🙂 <= mais ça par contre ça reste juridiquement mieux punis.
Bonne continuation
Super boulot !
Concernant l’aspect juridique, la justice n’a pas besoin d’avoir de loi spécifiquement dédiée aux negative SEO. A voir avec un avocat, mais le droit commercial prévoit depuis longtemps des sanctions juridiques contre la nuisance aux concurrents. 🙂
Merci pour la méthode dommage par contre d’avoir trouvé un peu tardivement allez on va dire mieux vaut tard que jamais.
En attendant vous êtes toujours premier sur Agence seo 🙂
Impressionnant quand même… Je comprends mieux certaines choses…. Attaquer coûte de l’argent ne pas attaquer coûte plus cher sans doute … D’autant plus que vous avez assez de preuves !
Merci pour ce retour, content que vous ayez pu régler ce problème même si ce n’est pas réellement finis.
Merci pour les tips, ça peut toujours servir, en espérant que cette agence se prenne le retour de bâton qu’ils méritent…
Bonne continuation 😉
Très intéressant ce retour d’expérience !
Vous pouvez rajouter un nouveau service à votre arsenal, la « police scientifique du spam » 😉
Merci du partage, et ça confirme les bruits que j’avais entendu à propos de cette agence..
Une conspiration ourdie par un concurrent malveillant, une intrigue digitale, un parfum de cybercriminalité, une traque numérique. Ne manque plus qu’une Mata Hari des temps modernes pour en faire un bon roman d’espionnage !
Nice post Andrea Bensaid!
Searching of direct email address is also a big part of SEO. Here I have found a plugin of Google Chrome named « FindThatLead » by which we can get direct email addresses of twitter account in few seconds. I find it important that’s why I want to share with the community.
Bien joué mais normalement c’est vraiment difficile d’arriver a remonter un NSEO si c’est bien fait… genre proxies dédiés à l’attaque.
Passionnant ce retour, une vraie enquête et utile à qui se fera spammer par des débutants, après pour les pros comme il a été dit avant moi, ils utiliseront certainement des proxies pour masquer leur adresse IP…