Ce qui est passionnant avec les concours SEO, c'est que de nombreuses techniques “undeground” reviennent sur le devant de scène.
Et la technique qui revient systématiquement c'est le Cloaking !
Mais le cloaking c'est quoi ?
En vulgarisant, on peut dire que le cloaking ” c'est le fait de détecter le profil du visiteur lorsqu'il arrive sur une page web, et de lui afficher (ou masquer) des informations en conséquences.
Quelques exemple d'utilisation possible en cloaking :
- On détecte le pays du visiteur, et on affiche un texte français si le visiteur est francophone, et un texte anglais si il est anglophone.
- On détecte si l'utilisateur est sur un ordinateur de bureau, une tablette ou un téléphone, et on adapte le contenu (bon c'est pas vraiment ça, mais c'est pour faire comprendre l'idée)
- On détecte si le visiteur est venu via un site (Cloaking sur réferal par exemple) , on lui affiche une offre spéciale.
- Sur un eCommerce, on détecte si le visiteur viens d'un système Windows, Linux, ou encore MacOs. Si il s'agit d'un utilisateurs, il est probable qu'il soit plus aisé, on augmente donc les tarifs (true story : voir ici )
On détecte si le visiteur du site est un robot (par exemple GoogleBot) et si c'est le cas on lui affiche autre chose.
(On peut aussi penser dans l'autre sens: si ce n'est pas un robot, on lui affiche du contenu différent)
Dans ces exemple, je parler d'affiché un contenu, mais on peut aussi rediriger vers une autre page ou site web complètement différent, bien entendu…
Les types de détection les plus utilisées :
- cloaking basé sur User Agent : On détecte le “nom” du navigateur ou du bot.
- cloaking basé sur IP : On détecte l'IP publique du visiteur
- cloaking basé sur Référer : On détecte la page que le visiteur à visiter avant de venir sur la votre (d'ou viens la visite)
- cloaking basé sur l'hôte : On détecte l'IP du visiteur et on détermine à quel fournisseur de services ce serveur est attaché. (on parle bien l'host du visiteur, pas celui de notre site..)
Il est possible (et même recommandé) de mixer ces techniques de cloaking (si tu as “tel IP” et “tel User agent” je t'applique telle condition).
Le cloaking est donc une technique plutôt avancé, mais qui est couramment utilisée pour différentes raisons.
Comme c'est très technique, il peut y avoir des erreurs et des oublis de cas dans sa mise en oeuvre, et c'est ça que l'on va “exploiter”
Comment détecter un cloaking utilisé en référencement :
Quelques indices pour savoir si un site est cloaké :
Dans google, avec l'opérateur “site:monsite.com” :
- si ont peu afficher le site en cache : vérifier que le contenu du cache est le même que celui du site.
- si y'a pas de cache, c'est une bonne piste : Le webmaster à pris la peine de donner une directive pour éviter la mise en cache, y'a des possibilité que la page soit cloakée.
Pour illustrer mes propos, je vais prendre la requête “smartphone pliable“, choix totalement hasardeux….
Site avec du cache
Site sans cache
On constate bien qu'il manque la petite flèche… si on regarde le code source du site SmartPhonePliable.net, curieusement le webmaster à pris le temps de donner la directive <meta name=”robots” content=”noarchive” /> …
Ok… mais comment voir le contenu du cloaking si la mise en cache de la page “est désactivé”
Quelques tips pour “voir le cloaking” :
Si un cloaking est bien fait, il est normalement indétectable… mais souvent il suffit d'un simple oublie dans son déploiement pour être découvert, vous pouvez donc tester l'url en se faisant passer pour un visiteur un peu spécial (c'est à dire se faire passer pour GoogleBot ou autre) :
- En changeant d'User Agent (User-Agent Switcher for Google Chrome | http://useragentswitcher.org/)
Ou en utilisant les tools de Google :
- Tester le site avec le test Mobile Friendly
- Tester aussi avec le test Google Amp => (cliquez sur afficher code amp)
- Et générez un apercu de la page avec Google PageSpeed
Comment faire du cloaking?
C'est pas le sujet de cet article, mais vous pouvez regarder le “Framework” de Patrick Valibus ou sur le forum Script-Seo.
On en parle sur twitter :
Non non… Sinon il y a aussi la fonctionnalité Google traduction pour constater ce que ‘voit' Google.
— Xav / Xdla (@gerard_marcel) 2 février 2019