Patrick Pilotte
De nos jours, une entreprise peut se passer de numéro de téléphone. Certaines n’ont même pas besoin d’un emplacement physique. Mais ne pas avoir de site Web indexable ? C’est impensable !
Pourtant, en juin, c’est exactement ce qui est arrivé à devolutions.net. Pendant cinq jours chaotiques, notre domaine entier a été désindexé de Bing — le moteur de recherche par défaut de Microsoft Edge. Toute personne nous recherchant tombait sur des sites tiers au lieu du nôtre.
Voici les coulisses de cet incident : une vaste campagne de pourriel menée par des humains a contourné nos défenses, submergé notre forum et discrètement empoisonné notre présence dans les résultats de recherche Bing — et comment nous avons lutté pour la rétablir.
Le début de l’histoire…
Vers 2h du matin (EST) le 19 juin 2025, notre équipe a commencé à remarquer une forte augmentation de l’activité sur le forum — et ce n’était pas bon signe. À notre pleine mobilisation, plus de 5 000 messages de pourriel avaient été publiés. Ces publications contenaient du contenu frauduleux : des liens vers des sites douteux et des numéros de téléphone menant à de faux techniciens d’assistance.
La base de données de notre forum peinait sous la charge. Les performances se sont rapidement détériorées jusqu’à devenir presque nulles. Ce qui rendait cette campagne différente des autres, c’est qu’elle était opérée par des humains. Ce n’étaient pas des robots. De vraies personnes ont créé manuellement plus de 500 comptes, contournant toutes nos protections automatisées — y compris le CAPTCHA Turnstile de Cloudflare, qui n’est pas conçu pour bloquer les humains.
Informations de l’équipe OSINT
Notre équipe OSINT a rapidement confirmé qu’il ne s’agissait pas d’une attaque isolée. Le même groupe publiait sur de nombreuses plateformes publiques — DeviantArt, Bluesky, forums, petites annonces, et bien d’autres. Nous avons cessé de compter après 15 sites externes uniques. L’objectif semblait être l’abus de SEO — créer des chaînes de rétroliens pour améliorer la visibilité de sites frauduleux dans les moteurs de recherche.
Nous avons repéré plus de 400 adresses IP uniques, principalement en Inde, incluant plusieurs FAI résidentiels. Une grande partie de l’attaque utilisait aussi des services VPN comme Private Internet Access. Nous avons même appelé deux des numéros frauduleux pour vérification :
- L’un prétendait être le soutien technique de Xerox et demandait d’installer un logiciel d’assistance à distance.
- Le second était lié à une « offre Expedia », mais l’agent ne savait même pas ce qu’était Expedia — et voulait tout de même un accès à distance.
Effets secondaires internes
Pendant le nettoyage, nous avons remarqué quelque chose d’étrange : notre agent conversationnel interne commençait à répondre avec le contenu des messages de pourriel. Taper “salut” déclenchait des réponses frauduleuses. Cela a confirmé un risque réel : la contamination des modèles linguistiques par du contenu public, en particulier lorsque les publications des utilisateurs sont indexées ou répliquées en interne.
Devenir un fantôme sur Bing
Quelques jours plus tard, nous avons constaté une forte baisse du trafic Web provenant de Bing. Dans Bing Webmaster Tools, tout semblait normal — sauf une étrange erreur de plan de site. Nous avons d’abord cru à un problème d’outil, jusqu’à ce que nous réalisions que les données étaient exactes : presque personne ne voyait notre contenu. Les rares impressions et clics restants provenaient uniquement de publicités payantes, puisque forum.devolutions.net et devolutions.net avaient été complètement désindexés de Bing :
Nous étions effectivement devenus invisibles — quiconque cherchait Devolutions sur Bing ne trouvait que des sites tiers parlant de nous. Et cela pose problème, car Microsoft Edge sur Windows utilise Bing par défaut.
Pour empirer les choses, ChatGPT utilise Bing en arrière-plan dans SearchGPT, donc être invisible sur Bing a un impact encore plus profond. Étonnamment, ChatGPT trouvait encore notre site Web, mais pour combien de temps ?
Pendant l’incident, nous avions beaucoup d’impressions sur des recherches comme “service à la clientèle Expedia” menant au pourriel sur notre forum, donc nous supposons que les algorithmes de Bing ont signalé forum.devolutions.net et son domaine parent devolutions.net comme indésirables. Les fraudeurs ont utilisé la notoriété de notre site pour propulser leurs faux renseignements de soutien dans les résultats de recherche — ce qui a fini par nous faire bannir.
Ce que nous avons fait
- Blocage des publications du forum au niveau du WAF à 10h30 le 19 juin
- Ajout d’une étape de modération pour toutes les premières publications
- Suppression de tous les messages de pourriel via nettoyage direct de la base de données
- Documentation des vecteurs d’attaque via OSINT et renseignement sur les menaces
- Confirmation de la désindexation du domaine sur Bing
- Contact avec l’assistance de Bing
La dernière étape — contacter l’assistance de Bing — a été la plus stressante. Il existe un formulaire dans Bing Webmaster Tools, mais une fois un numéro de billet reçu, il ne reste plus qu’à attendre. Étonnamment, il ne semble pas exister de support payant prioritaire chez Bing. Nous aurions volontiers payé pour faire accélérer le processus !
Sans nommer personne (pour ne pas donner d’idées), nous avons réussi à joindre un membre de l’équipe Bing pendant ses vacances via LinkedIn. Cela a permis à notre billet d’être remarqué en interne, et quelques jours plus tard, nous avons reçu la confirmation que le bannissement avait été levé. Mais nous sommes restés impuissants face à la situation pendant beaucoup trop longtemps.
Chronologie (EST)
Voici une chronologie des événements, du moment de l’incident jusqu’à sa résolution :
| Heure | Événement |
|---|---|
| ~02:00 | Début soudain du flot de pourriel sur le forum communautaire |
| 03:00–05:00 | Plus de 5 000 publications frauduleuses ; la base de données commence à saturer |
| 10:30 | Règle WAF déployée pour bloquer toutes les soumissions |
| ~12:00 | Première étape de modération ajoutée aux publications |
| +2 jours | Baisse du trafic Bing observée et analysée |
| +3 jours | Domaine confirmé comme désindexé sur Bing ; contact avec le support |
| +5 jours | Confirmation de la réindexation du domaine sur Bing |
Ce que nous avons appris
- Les attaques humaines contournent vos CAPTCHA. Les protections automatisées ont été facilement dépassées. Un examen manuel était nécessaire.
- Les mauvaises données polluent tout — même l’IA. Les systèmes d’IA internes doivent être protégés contre l’ingestion de données non modérées.
- La confiance des moteurs de recherche est fragile. Une vague de contenu de mauvaise qualité peut rapidement entraîner une désindexation — sans avertissement.
- Le filtrage par IP ou mot-clé est inefficace contre des humains. Ces mesures sont peu contraignantes et faciles à contourner.
- Ne sous-estimez pas Bing simplement parce que Google existe. On réalise la valeur de quelque chose seulement lorsqu’on la perd — il faut prêter attention à Bing.
Dernières réflexions
Cet incident nous a rappelé que la sécurité ne consiste pas seulement à arrêter des robots — il faut penser comme un adversaire, surtout lorsqu’il est humain. Si vous gérez une plateforme publique, demandez-vous : “Que se passe-t-il quand les attaquants ne sont pas automatisés ?” Vous pourriez l’apprendre à vos dépens, comme nous.
Steven Lafortune
