REX google - site trompeur - écran rouge pendant 4 jours

Bonjour,

il y a une semaine, une orga contributrice nous contacte avec ce message:

Depuis cette nuit, Google Search Console a détecté un problème de
sécurité (« Contenu d'ingénierie sociale détecté ») sur nos différents
sites web et applications. J’ai clairement du mal à identifier la source du
potentiel problème. Pour l’instant, je me dis que cela pourrait
peut-être venir du Keycloak, qui est branché sur le chat et
le mediawiki (capture écran rouge google), mais je n’en suis pas
certain. Je vous partage l’info au cas où cela vous arriverait avec
d’autres clients. Je continue à chercher de mon côté.

Google Search Console :
« Nos systèmes de navigation sécurisée ont détecté que certaines pages
de votre site ont probablement été piratées ou comportent des ressources
tierces telles que des annonces conçues pour amener les internautes à
installer des logiciels malveillants ou à divulguer des informations
sensibles. Afin de protéger les visiteurs de votre site, les pages
concernées ont été rétrogradées dans nos résultats de recherche, et les
navigateurs tels que Google Chrome affichent à présent un avertissement
lorsque les internautes consultent votre site. Vous pouvez identifier
les pages concernées dans le rapport sur les problèmes de sécurité. »

Puis:

https://developers.google.com/search/docs/monitor-debug/security/social-engineering?hl=fr
Je ne peux pas m’empêcher de penser que la page de connexion Keycloak
doit être détectée par Google comme problématique. Les URLs relevées par
Google Search Console sont essentiellement celle du chat et celle du wiki sur lesquels on a des liens directs vers
Keycloak pour se connecter.

Les 2 outils, chat et mediawiki ont le keycloak devant avec l’URL https://id.indie.host.
Nous décidons alors de basculer sur https://id.leurdomaine.tld

hier, la résolution est arrivée:

Hier vers 10h30, Google a enfin effectué  le réexamen de sécurité qui a
confirmé qu’il n’y avait pas, ou plus, de problème. Je pense sincèrement
que j’ai tapé juste. À part le changement de nom de domaine du SSO, j’ai
seulement fait quelques mises à jour mineures du site WordPress.

Voici ce que j’ai saisie dans le formulaire de réexamen ce week-end.
J’ai fait la demande plusieurs fois avec le même message :
Nous utilisons un service tierce pour gérer l’authentification unique
sur nos applications. Il ne
s’agissait pas d’un système à vocation de tromper nos utilisateurs, mais
bien de notre système d’authentification auquel nous avons confiance.
Cependant, nous avons modifié le nom de domaine de ce système pour
utiliser le même domaine. Ainsi, nos utilisateurs ne sont
pas redirigés vers un nom de domaine tierce lors de leur
authentification, mais restent sur un sous-domaine.

Lundi dans la journée, en désespoir, j’ai fait une nouvelle demande avec ce
message :
Les sites et pages détectées comme trompeurs n’incitent
aucunement les internautes à agir de façon dangereuse ou à révéler leurs
données personnelles. Tous les utilisateurs de nos outils savent quelles
données personnelles sont publiées et pourquoi.

Ma conclusion est vraiment que le « problème » détecté par Google venait
de la page de connexion à nos outils déportées sur id.indie.host (chat,
nuage, wiki). Quelle galère ces 4 derniers jours!
(accès aux sites, dé-réfencement des sites, passage en spam des
courriels qui mentionnaient notre nom de domaine dans Gmail)

Je vous le partage rapidement, j’espère que ça n’arrivera à personne d’autres… quelle galère…

Si vous avez des idées sur ce qu’il se passe, ou ce qu’il faut faire pour éviter que cela se passe, nous sommes preneurs :slight_smile:

(Bien sur, pas d’explication de google…)

Et cela est liée à cette discussion que nous avons:

à propos du fait que les nav acceptent de moins en moins les domaine tiers.

2 « J'aime »

Quelques pistes et autres REX :

1 « J'aime »

Une piste de compétences #chatons avec @coudot . Clément est spécialiste des solutions IAM depuis plus de 10 ans initialemnent par | ldap lemon ng (aka ubuntu chez les gendarmers ), puis fusion directoy puis worteks… Il pourra certainement vous amener des réflexions pertinentes notamment sur l’utilisation de keycloak en production que ce soit marque blanche et|ou multidomaines.


Clément est membre de hadoly. Plus exactement je lui ai subtilisé 10€ pour prolonger son adhésion il y a un an à l’occasion de l’édtion précédente des jdlll. Mais c’est quelqu’un qui a beaucoup d’humour. Il ne m’en veut pas parce qu’il a certainement oublié.

1 « J'aime »

Il est possible que simplement personnaliser l’apparence de la page de connexion soit un bon moyen de contourner ce problème. j’ai l’impression que Google considère toutes page de connexion identique sur des milliers d’ip comme forcément dangereuse…