White Hat vs Black Hat

Un jour, le premier référenceur a eu l'idée de communiquer au sujet du SEO, c'est-à-dire de parler des méthodes d'optimisation de sites internet pour aider au référencement dans les moteurs de recherche comme google. Le lendemain, la discussion entre White Hats et Balck Hat a commencé. Elle ne s'est jamais arrêtée depuis. Voilà mon avis sur la question.

Défnitions des White Hats et des Black Hats

Depuis les débuts des développements logiciels, les programmes développés ont toujours eu des bugs, ou des défauts de fabrication, au même titre que les autres produits.

Certains tripatouilleurs ou bidouilleurs (hacker en anglais) aiment fouiner dans les binaires ou les sources si elles sont disponibles, et parfois trouvent des failles, des portes d'entrée non prévues par les concepteurs pour lancer certaines fonctionnalités ou modifier des données. Là se pose une question simple :

  • Soit j'alerte le propriétaire du programme pour améliorer la sécurité de ce dernier histoire de lui laisser un peu de temps pour réparer ça avant de publier la faille au public. De cette façon, la sécurité globale des logiciels augmente, et on peut consulter les alertes de sécurité pour apprendre des erreurs du passé.
  • Soit j'utilise cette connaissance, la faille que j'ai découverte, sans en parler à qui que ce soit. Les raisons peuvent être un but d'enrichissement personnel, se faire reconnaître de ses paires (en défaçant des sites par exemple), ou une peur des représailles. En effet, la recherche d'une faille de sécurité dans un logiciel ou un serveur web comme décrit dans les articles 323-1 à 323-3 est punissable.

Le premier est un hacker White Hat, le second un Black Hat. Le premier est un fervent défenseur du full disclosure (publication totale des failles), l'autre non.

White Hats et Black Hats dans le SEO

Dans le monde du référencement, on entend souvent parler de méthodes Black Hat, qui sont en fait de l'automatisation des tâches supposées aider à gagner des places dans le référencement. De mon point de vue, ce n'est pas du Black Hat du tout. A ma connaissance, très peu de référenceurs font autre chose que de tester le comportement de google bot, et en déduire des hypothèses sur l'impact sur le référencement. Parfois ils partagent leur découverte, parfois non, mais en aucun cas ils n'utilisent des failles découvertes dans google pour positionner leur site (je veux dire dans l'infrastructure même de Google, ou les services proposés). Quand je parle de failles, je pense par exemple à un hacker qui aurait accès au cube de l'entrepôt de donnée de google et pourrait modifier à la main le classement d'un site qu'il souhaite promouvoir, ou qui pourrait appliquer un filtre sur un concurrent de la même manière que certains employés de Google ont appliqué récemment des filtres sur des requêtes suite à des décisions de justice allemande pour limiter l'affichage de certaines associations de mots par google suggest.

Faire de contenu généré aléatoirement ou spammer des annuaires n'est pas du Black Hat. Changer les numéros de compte bancaire des clients Adsense pour un autre en passant à travers les contrôle de Google, ça s'est du Black Hat.

La conclusion sur le White Hat pour le SEO, c'est que les techniques souvent appelées White Hat, comme la rédaction de contenu, le link baiting, et autre techniques qui n'en sont pas, c'est juste faire de la rédaction de contenu. Ce n'est pas le boulot d'un expert SEO, juste d'un rédacteur ou d'un journaliste qui sait utiliser Internet Explorer. Et ce que beaucoup appelle Black Hat SEO, comme le spamming le plus agressif, la création de réseaux de blogs fictifs tentaculaires pour pousser un site correct, l'utilisation de faille dans les modules Wordpress pour insérer des liens,... c'est le vai boulot d'un référenceur. Mais ça n'est, d'après moi, pas du black hat, c'est juste qu'un référenceur, comme un vendeur de tapis, doit utiliser toutes les solutions à sa portée pour satisfaire son client. Tant qu'il ne s'introduit pas par la fenêtre et respecte la loi, ce n'est pas du hacking (ni noir, ni blanc). Mais ce qui est sympa, c'est que ça faire bien rire les gugus de chez Google, qui voit des propriétaire de sites de trotinettes et blogs de développement personnel bidons suivre les recommandations de Google à la lettre.

Google et le Black Hat

Cependant, Google est proche de l'état d'esprit des talentueux bidouilleurs, dont il utilise une bonne partie d'entre eux comme employés. Dans ce cadre là, si vous vous sentez l'âme d'un vrai hacker, nous avons lancé un programme pour nous communiquer les failles potentielles que les hackers pourraient avoir découvertes. Si la faille est utilisable ou présente un danger pour Google, vous recevez une indemnité.

Pour rentrer en communication avec Google en évitant que le contenu de vos messages soient interceptés par d'autres, utilisez la clé de google pour chiffrer vos messages. Les montants que les Black Hats :) peuvent toucher sont listés ici. Naturellement, les recherches de failles de l'infrastructure ne sont pas encouragées, de même que celles liées au deni de service :)

Si vous trouviez une faille d'injection SQL dans google wallet, vous en feriez quoi?

Commentaires
Si vous avez appris des trucs, je vous remercie de cliquer sur le bouton google plus