Google classe le « back-button hijacking » comme spam

 (developers.google.com)
20 points par GN⁺ 2026-04-15 | 7 commentaires | Partager sur WhatsApp
  • Le fait d’empêcher l’utilisateur de revenir à la page d’origine lorsqu’il appuie sur le bouton Retour du navigateur, ou de le rediriger vers des pages de publicité ou de recommandation non souhaitées
  • Est ajouté comme nouvelle infraction à la politique anti-spam interdisant explicitement ce « back-button hijacking »
  • Cette politique doit entrer en vigueur le 15 juin 2026, et des mesures manuelles contre le spam ou une rétrogradation automatique du classement pourront s’appliquer en cas d’infraction
  • Google estime que ces pratiques dégradent l’expérience utilisateur et perturbent le parcours de navigation, et les qualifie de violation explicite de la politique sur les pratiques malveillantes
  • Les exploitants de sites doivent supprimer le code ou les scripts externes qui manipulent l’historique de navigation du navigateur et, si nécessaire, peuvent demander un réexamen via Search Console pour rétablir la situation

Concept du back-button hijacking

  • Pratique consistant à perturber l’action par laquelle l’utilisateur tente de revenir à la page précédente lorsqu’il appuie sur le bouton “Retour” du navigateur
    • Le site manipule les fonctions de navigation du navigateur pour empêcher l’utilisateur de revenir immédiatement à la page précédente
    • Cela peut se traduire par une redirection vers une page que l’utilisateur n’a jamais visitée, l’affichage de pages de recommandation ou de publicité non souhaitées, ou le blocage d’une navigation normale
Publicité

Pourquoi ce durcissement et quelles mesures pour les exploitants

  • La protection de l’expérience utilisateur est la priorité absolue
    • Le back-button hijacking perturbe les fonctions du navigateur, casse le flux de navigation attendu et donne à l’utilisateur un sentiment de frustration et de manipulation
    • Ces pratiques peuvent aussi dissuader les utilisateurs de visiter des sites qu’ils ne connaissent pas
  • Google indiquait déjà que l’insertion de pages trompeuses ou manipulatrices violait les règles de Search Essentials,
    et, face à la hausse récente de ces pratiques, les désigne désormais comme violation explicite de la politique sur les pratiques malveillantes (malicious practices)
  • Les exploitants de sites doivent supprimer le code ou les scripts qui manipulent l’historique de navigation du navigateur
    • Comme cela peut provenir de bibliothèques externes ou de plateformes publicitaires, il est nécessaire de vérifier et supprimer le code, les imports et les paramètres concernés
  • Si la visibilité dans les résultats de recherche a été limitée à cause d’une mesure manuelle, il est possible de rétablir la situation après correction via une demande de réexamen (reconsideration request) dans Search Console
  • Pour toute question supplémentaire ou tout retour, il est possible de passer par la page Google Search Central sur LinkedIn ou la communauté d’assistance

À lire aussi

7 commentaires

 
xguru 2026-04-15

Ah, enfin !!! Tous ces médias qui faisaient ce genre de trucs méritent de se prendre un gros retour de bâton.
 
roxie 25 일 전

Ce n’est pas un problème apparu hier ou avant-hier, mais ça a quand même pris... pris sacrément longtemps.
 
lazydonkey456 2026-04-15

Ne faudrait-il pas déjà que Google fasse quelque chose contre les publicités NSFW, pour commencer ? -_-
 
crawler 2026-04-15

Même sur le site Q&A de Microsoft, quand on y entre puis qu’on appuie sur retour, ça se met à boucler à l’infini ; j’aimerais vraiment que ce genre de sites soit corrigé.

Qu’il y ait une redirection ou non, du point de vue de l’utilisateur, si on appuie sur retour, on doit pouvoir quitter la page.
Sur ces sites, il faut toujours maintenir le bouton retour enfoncé pour remonter de plus de deux niveaux.
 
roxie 25 일 전

J’ai du mal à qualifier ce problème autrement que de vraiment stupide. Ça m’est arrivé aussi.
 
eoeoe 2026-04-15

Normalisé !!
 
GN⁺ 2026-04-15
Réactions sur Hacker News

  • J’aimerais qu’un navigateur ait une fonction pour désactiver tous les raccourcis d’un site web
    Sur Brave, j’ai configuré Ctrl+E pour ouvrir un nouvel onglet, mais des sites comme Discord le remplacent par le menu des emojis, ce qui est pénible

    • Ctrl+F pose aussi problème. Je veux chercher un mot dans la page, pas ouvrir le champ de recherche interne du site
    • Autre exemple : certains sites remplacent ctrl+click pour qu’au lieu d’ouvrir dans un nouvel onglet, ça s’ouvre simplement dans l’onglet actuel. Je le vois souvent sur des sites e-commerce
    • J’ai créé un bookmarklet qui bloque tous les écouteurs d’événements clavier pour empêcher ça. Je peux le partager si ça intéresse
    • Au lieu de tout bloquer, j’aimerais qu’il y ait un système où le site doit demander l’autorisation d’utiliser des raccourcis. Il suffirait d’autoriser les sites de confiance
    • Sur Firefox, j’utilise Vimium, donc mes raccourcis de base sont ceux du plugin. Par exemple, j’ouvre un nouvel onglet avec t, et si je veux utiliser les raccourcis du site, je passe en mode insertion avec i. C’est bien, parce que le site peut garder des touches sans conflit comme ctrl+k

  • La politique d’indexation de Google n’a plus beaucoup de sens pour moi en ce moment
    Mon site, qui était bien référencé depuis des années, a soudain disparu de l’index. Ce ne sont que des billets de blog, sans publicité, avec HTTPS activé, et avec des liens depuis d’autres sites
    Pourtant, les résultats de recherche Google s’éloignent de plus en plus des informations que je cherche. J’espère que la nouvelle politique apportera une amélioration

    • C’est peut-être justement “parce qu’il n’y a pas de pub”. Google n’a aucun intérêt à mettre en avant des pages sans publicité
    • Là, on parle de Chrome, pas de recherche. Google a commencé ces dernières années à supprimer les contenus peu visités. S’il existe beaucoup de contenus similaires, ils ne sont pas indexés, quelle que soit l’autorité de la page. La recherche devient comme TikTok. Résumés IA, YouTube, actualités, cartes et produits passent avant tout. Le contenu est mort

  • Sur Firefox, on peut configurer le navigateur pour empêcher une page de modifier l’historique
    D’après la méthode sur superuser.com, il suffit de désactiver browser.history.allowPushState dans about:config

    • Mais dans la plupart des cas, ce n’est pas pushState, c’est la page qui met en place une redirection automatique. C’est pour ça qu’il faut appuyer deux fois sur retour
    • Les SPA utilisent l’API History pour gérer l’historique de navigation interne. Bloquer ça peut au contraire provoquer une perte de données
    • À noter que depuis Firefox 47, browser.history.allowPushState est deprecated. Aujourd’hui, les sites manipulent rarement l’historique de cette façon. En revanche, il est surprenant que le détournement du bouton retour existe encore sur Chrome. Moi, j’ai réglé ça sur Firefox avec un UserScript de blocage de keycodes

  • Au début, je pensais qu’il s’agissait d’Android
    Les applis Android abusent beaucoup de ce genre de détournement UX, avec des comportements du type “appuyez deux fois sur retour pour quitter”. Les applis de feed comme Reddit, TikTok ou Instagram sont les principaux exemples

    • Moi aussi, au début je croyais qu’on parlait d’Android, et je me demandais pourquoi le mot “browser” revenait sans arrêt dans l’article
    • Franchement, j’aimerais que Google applique aussi cette politique à Android. Les applis sont les pires

  • J’aimerais que cette politique soit appliquée d’abord à LinkedIn
    Quand on clique sur un lien dans un e-mail ou une publication, on arrive bien sur le post, mais si on appuie sur retour, on revient au feed
    Cela combine location.replace(...) et history.pushState() pour manipuler l’historique

    • Reddit détourne aussi le bouton retour de la même façon. Quand on arrive sur un post Reddit depuis Google puis qu’on fait retour, on se retrouve sur le feed principal de Reddit
    • Gmail a aussi un problème UX du même genre. Dans l’objet des mails d’invitation, il y a un bouton “Accepter” sur lequel on peut cliquer par erreur en faisant défiler
    • Moi, je contourne ça en ouvrant toujours les liens de ce type dans un nouvel onglet. Fermer l’onglet est devenu mon nouveau bouton retour. Je ferme simplement les onglets qui ne m’intéressent pas
    • Facebook fonctionne aussi comme ça. Grâce à cette explication, je comprends enfin le mécanisme
    • Cela dit, il n’est pas clair que ce soit vraiment contraire à la nouvelle politique. Une navigation basée sur les ancres peut rester techniquement valide

  • Les sites de Microsoft ont aussi souvent ce problème de bouton retour

    • Azure Portal est un cas typique. Quand on appuie sur retour, impossible de savoir ce qui va se passer. On dirait le “bouton de la chance” sur Android
    • Cela dit, chez Microsoft, c’est souvent moins de la malveillance façon redirection publicitaire que simplement un problème de conception de redirections JS
    • Sur mobile, l’Epic Store empêche aussi de revenir en arrière depuis la page de paiement. Je ne sais pas si c’est intentionnel ou juste une erreur UX
    • Je suis tombé sur un site comme ça hier : même en appuyant rapidement sur retour, ça ne marchait pas, et j’ai fini par fermer l’onglet

  • Cette mesure est un bon premier pas, mais reste insuffisante
    Je ne veux pas qu’un site détourne mon bouton retour, quel qu’il soit
    Je déteste surtout les pop-ups du genre “Vous voulez vraiment partir ? Vous ne vous êtes pas encore inscrit à la newsletter”

    • Dans les SPA, c’est parfois nécessaire à titre d’exception. Il faut suivre correctement le chemin parcouru par l’utilisateur dans l’application. Mais le principe doit rester : “le comportement doit correspondre à ce que l’utilisateur attend”
    • Les avertissements du type “Voulez-vous quitter sans enregistrer ?” sont utiles. En revanche, il faudrait pouvoir gérer les autorisations site par site
    • En tant qu’exploitant d’une appli SaaS, j’utilise ce genre d’avertissement parce que si un utilisateur quitte par erreur pendant qu’il remplit un formulaire, les données sont perdues. Mais je réfléchis encore à ce qui est le mieux du point de vue utilisateur
    • Forcer l’ouverture dans un nouvel onglet est aussi une forme de détournement. Ça devrait être interdit totalement. Certains pensent même qu’il faudrait des sanctions juridiques

  • Dire que “l’expérience utilisateur est la priorité absolue”, c’est ironique
    De la part d’entreprises qui affichent des pop-ups “Open in app” conçus pour embrouiller l’utilisateur afin de le pousser vers l’application
    Article lié : Those obnoxious sign-in windows

  • C’est le bon moment pour remettre en avant le pattern Post/Redirect/Get
    Comme l’explique Wikipédia, faire une redirection après l’envoi d’un formulaire rend l’UX bien plus fluide

    • En tant que vieux développeur, j’adore vraiment ce pattern. La génération React semble moins bien connaître ce genre de choses
    • Je l’ai découvert aujourd’hui. C’est donc pour ça que, sans ce pattern, la pop-up “Voulez-vous renvoyer le formulaire ?” apparaît. Même apprendre son nom m’a été utile

  • Le framework SPA de Google, Angular, provoque aussi un détournement du bouton retour quand on utilise des redirect routes
    C’est expliqué dans la documentation officielle d’Angular

    • Mais dans une SPA, le routage interne est souvent inévitable pour l’UX de l’application. Dans ce cas, ce type d’interception ne devrait être autorisé que pour préserver naturellement la navigation interne