En période de fausses nouvelles, il suffit de ne pas avoir besoin d’un bug dans Google, l’une des principales sources d’information pour beaucoup de gens. Il s’avère que jusqu’à il y a quelques jours, le moteur de recherche présentait une faille qui permettait de manipuler les résultats de la recherche.
L’échec était lié au Knowledge Graph, le panneau d’information qui apparaît dans les recherches de termes plus pertinents. Une modification de l’URL de recherche pourrait changer ce qui est affiché dans cette zone et causer une confusion chez les utilisateurs.
Selon l’expert en sécurité Wietze Beukema, qui a décrit cette lacune dans son blog, on pourrait commencer à l’explorer en recherchant les termes dans lesquels le panel est présenté, comme les artistes, les politiciens ou les entreprises.
Ensuite, il suffit de sélectionner l’icône de l’action affichée à côté du nom recherché et de copier l’URL courte proposée par Google. Lorsqu’il est ouvert sur un nouvel onglet, il est dirigé vers une URL complète, qui affiche un paramètre “kgmid”.
Chaque terme du panel a un “kgmid” différent. C’est cette information qui a permis de manipuler la recherche. Pour ce faire, il a fallu effectuer une autre recherche et inclure (ou remplacer) ce paramètre dans l’URL.
La méthode a permis de manipuler la recherche et de faire croire que le chanteur Paul McCartney faisait partie des Rolling Stones, par exemple. Il était même possible d’indiquer que le rappeur Snoop Dogg serait le véritable président des États-Unis.
Ces résultats pourraient facilement être identifiés comme faux par de nombreux utilisateurs, mais la manipulation pourrait également être portée à des questions plus sérieuses. Beukema a montré que le sondage “pour quel parti devrais-je voter ?” pourrait aboutir à des “Républicains” ou des “Démocrates”.
La recherche “où est né Barack Obama” pourrait mener au “Kenya”, en référence à la théorie du complot selon laquelle l’ancien président des États-Unis ne serait pas américain. Pour voir les résultats manipulés, il fallait utiliser uniquement l’URL correcte, qui pouvait facilement être partagée avec d’autres.
Dans tous ces cas, le panneau d’information a été modifié, mais les résultats des sites sont restés inchangés. Cependant, la situation pourrait s’aggraver en incluant dans l’URL le paramètre “kponly”, qui n’affiche que le panneau et augmente la désinformation.
Pour Beukema, la combinaison des paramètres pourrait entraîner de graves problèmes. “Si, par exemple, votre enquête est une question, vous pouvez choisir une carte graphique de connaissances qui a la réponse souhaitée et ne montrer que cette réponse”, dit-il. “Cette technique pourrait être utilisée pour diffuser de fausses informations à des fins politiques et idéologiques”.
L’expert affirme avoir averti Google de l’écart en décembre 2018, mais n’a pas eu de réponse. L’écart était connu des autres utilisateurs au moins depuis mars 2016, lorsque la question a été abordée dans un article de Google+.
Au moment où ce billet a été publié, la faille semble avoir été corrigée. Cependant, il est toujours important de faire attention à ce que vous voyez sur Internet, en particulier sur Google.