Blacklist Google Safe Browsing : sortir du rouge sans brûler les étapes

Vos visiteurs voient un écran rouge avec "Ce site contient des programmes malveillants". Votre trafic s'effondre. Votre panier est vide depuis ce matin. Google Safe Browsing vient de blacklister votre site. Ce qu'il faut savoir : la demande de retrait prend entre 24 et 72 heures, mais elle ne sert à rien si votre site n'est pas propre avant de la soumettre. Voici la séquence correcte.

Définition en une phrase

La blacklist Google Safe Browsing est une base de données maintenue par Google qui répertorie les sites hébergeant des malwares, des scripts de phishing ou du contenu trompeur, et qui déclenche des avertissements dans Chrome, Firefox et Safari quand un utilisateur tente de les visiter.

En clair, pour les non-initiés. Google parcourt le web en permanence. Quand il détecte un code malveillant sur votre site (script qui vole des données de carte, page de phishing imitant votre banque, redirection vers un téléchargement dangereux), il ajoute votre domaine à une liste noire. Tous les navigateurs basés sur Chrome ou Firefox affichent alors un avertissement rouge avant même de charger votre page. Ce n'est pas une sanction SEO classique : c'est un blocage de navigation.

Pourquoi un site se retrouve blacklisté

Google Safe Browsing détecte plusieurs catégories de contenus dangereux :

Malware : du code exécutable malveillant est présent sur vos pages (script JavaScript infecté, iframe chargant un exploit kit depuis un domaine tiers, downloader automatique). C'est le résultat le plus fréquent d'une compromission par webshell ou backdoor PHP.

Phishing : votre site héberge une page qui imite un service légitime (banque, opérateur, boutique connue) pour collecter des identifiants. Cela peut arriver à votre insu si un attaquant a déposé des pages de phishing dans un sous-répertoire de votre hébergement.

Logiciels indésirables : votre site distribue des logiciels présentés comme utiles mais qui installent des barres d'outils, modifient les paramètres du navigateur, ou affichent des publicités agressives.

Ingénierie sociale : pages trompeuses qui incitent à télécharger de faux correctifs ou à appeler un faux support technique.

Sur les sites qu'on traite en P.02, la blacklist Google arrive généralement 2 à 7 jours après la compromission initiale, le temps que le crawler de Google repasse sur le site et détecte le contenu malveillant ajouté.

Ce qui se passe concrètement quand vous êtes blacklisté

Dans les navigateurs : Chrome, Firefox (via SafeBrowsing API), et les navigateurs mobiles basés sur ces moteurs affichent une page d'avertissement rouge avant de charger votre site. L'utilisateur doit cliquer sur "Continuer malgré tout" pour accéder, ce que la majorité des visiteurs ne fait pas.

Dans les résultats Google : un snippet d'avertissement peut apparaître sous votre URL dans les SERP : "Ce site est susceptible de nuire à votre ordinateur."

Dans Google Search Console : un message dans la section "Problèmes de sécurité" liste les pages concernées et la catégorie de menace détectée. C'est là que vous gérez le retrait.

Dans les outils de monitoring email : certains fournisseurs d'email (Gmail, Outlook) bloquent les liens vers des domaines blacklistés dans les emails sortants.

La règle absolue : nettoyer avant de demander le retrait

Soumettre une "reconsideration request" (demande de réévaluation) à Google avant d'avoir nettoyé le site est la principale erreur qu'on voit. Google réévalue le site, détecte encore du contenu malveillant, maintient le blacklisting, et démarre un délai de pénalité plus long avant d'accepter une nouvelle demande.

La séquence correcte est sans exception :

1. Nettoyer le site complètement (fichiers malveillants, backdoors, injections en base de données).
2. Fermer le vecteur d'entrée.
3. Vérifier que le site est propre.
4. Soumettre la demande de réévaluation dans Google Search Console.
5. Attendre la réévaluation (24 à 72 h en moyenne pour la première demande propre).

La procédure de retrait dans Google Search Console

Vous devez être propriétaire vérifié du site dans Google Search Console.

1. Dans la console, aller dans Sécurité et actions manuelles > Problèmes de sécurité.
2. Lire le détail des problèmes signalés : type de menace, exemples d'URLs concernées.
3. Une fois le site nettoyé, cliquer sur Demander un examen.
4. Dans le formulaire, décrire précisément ce que vous avez fait pour corriger : fichiers supprimés, plugin vulnérable mis à jour, permissions corrigées. Plus le détail est précis, plus la réévaluation est rapide.
5. Soumettre.

Google réévalue sous 24 à 72 h pour les premières demandes. Si la demande est rejetée (contenu encore présent), le délai avant une nouvelle soumission s'allonge : 7 jours, puis 30 jours.

Ce que Secushot fait en intervention

En P.02 Nettoyage post-attaque, la procédure de retrait de blacklist est incluse dans le scope. La séquence complète :

1. Nettoyage complet : retrait des webshells, backdoors, injections JavaScript, pages de phishing. Voir webshell et backdoor PHP.
2. Vérification via les outils Safe Browsing : https://transparencyreport.google.com/safe-browsing/search et via Search Console.
3. Rédaction de la demande de réévaluation : nous rédigeons la description technique précise de ce qui a été fait. Une demande vague est moins bien traitée qu'une demande qui liste fichier par fichier ce qui a été retiré.
4. Soumission dans Search Console : nous soumettons directement ou vous guidons si l'accès Search Console est chez vous.
5. Suivi à J+3 et J+7 : confirmation du retrait de la blacklist, vérification que l'avertissement est bien levé dans Chrome.

Les erreurs qu'on rencontre le plus souvent

1. Demander le retrait avant de nettoyer

C'est l'erreur la plus courante et la plus coûteuse en temps. Un rejet de demande de réévaluation allonge le délai d'attente avant la prochaine tentative. On a vu des sites rester blacklistés 3 semaines parce que la demande a été soumise deux fois sans nettoyage préalable.

2. Nettoyer les fichiers mais pas les injections JavaScript

Un attaquant sophistiqué injecte du JavaScript malveillant directement dans les templates ou les posts WordPress, pas seulement dans des fichiers PHP. Le nettoyage des webshells laisse les injections JS en place. Google continue de détecter du contenu malveillant. On vérifie systématiquement les templates, les widgets, et les contenus de page en base de données.

3. Ignorer le sous-domaine ou le sous-répertoire concerné

Search Console signale des URLs spécifiques. Un phishing peut être hébergé sur shop.votre-domaine.fr/login-paypal/ sans affecter le domaine principal visuellement. On nettoie l'ensemble de l'hébergement, pas seulement la racine web.

4. Ne pas corriger le vecteur d'entrée

Site nettoyé, demande soumise, blacklist levée. Trois jours plus tard, le contenu malveillant est de retour parce que la faille n'a pas été corrigée. Le cycle recommence. Sans fermer le vecteur, le nettoyage est temporaire.

5. Confondre "blacklist Google Safe Browsing" et "pénalité algorithmique Google"

Ce sont deux mécanismes distincts. La blacklist Safe Browsing est une détection de sécurité, levée sous 72 h après nettoyage. Une pénalité algorithmique (Panda, Penguin, contenu dupliqué) est un signal de qualité qui affecte le positionnement SEO sur plusieurs semaines ou mois. Un site compromis peut subir les deux simultanément.

Questions fréquentes

Combien de temps faut-il pour être retiré de la blacklist Google ? Pour une première demande après nettoyage complet : 24 à 72 h en moyenne. Si la demande est soumise avec du contenu encore présent, le délai avant une nouvelle soumission passe à 7 jours, puis 30 jours. Ces délais sont des estimations basées sur notre expérience opérationnelle.

La blacklist Google affecte-t-elle mon référencement de façon permanente ? Non. Le retrait de la blacklist restore l'affichage normal dans les résultats et les navigateurs. L'impact SEO d'une compromission dépend de la durée pendant laquelle le contenu malveillant a été indexé. Un nettoyage rapide limite les dégâts long terme.

Mon site est blacklisté mais je ne vois rien de malveillant. Comment ? Le contenu malveillant peut être rendu conditionnel : visible uniquement pour Googlebot, visible uniquement depuis des IPs mobiles, visible uniquement la nuit. Cette technique (cloaking) sert à éviter la détection par les administrateurs. C'est pourquoi on ne se fie pas à l'apparence visuelle du site pour valider le nettoyage.

Faut-il prévenir mes clients que mon site a été compromis ? Si des données personnelles ont été accessibles pendant la compromission (base clients, données de paiement), la RGPD impose une notification à la CNIL sous 72 h et potentiellement aux personnes concernées. Notre rapport P.02 documente les accès constatés pour vous aider à évaluer cette obligation.

D'autres outils blacklistent aussi les sites compromis ? Oui. Norton Safe Web, McAfee SiteAdvisor, PhishTank, Spamhaus. Ces listes sont moins visibles que Google Safe Browsing mais peuvent bloquer l'accès depuis des réseaux d'entreprise équipés de ces outils. On vérifie les principales après nettoyage.

Pour aller plus loin

• Connexe : Webshell PHP, Backdoor PHP, IOC (Indicator of Compromise), Cloudflare WAF.
• Protocoles concernés : le retrait de blacklist Google fait partie du scope du nettoyage post-attaque P.02 (1 290 € TTC, SLA 24 h). Pour les sites e-commerce avec compromission de données de paiement, voir le pack E-commerce piraté PK.ECM.

Votre site est blacklisté par Google Safe Browsing ? Notre nettoyage post-attaque (P.02, 1 290 € TTC, SLA 24 h) nettoie le site, ferme le vecteur d'entrée, et soumet la demande de réévaluation Google. Retour à la normale en moins de 4 jours dans la grande majorité des cas. Briefer une intervention P.02