Google
|
par Autom Team

Google attaque SerpAPI : ce que SearchGuard révèle sur la détection des bots

Le procès qui a exposé les secrets anti-bot de Google

Le 19 décembre 2025, Google a intenté un procès contre SerpAPI LLC, basée au Texas, alléguant que l'entreprise a contourné SearchGuard pour scraper « des centaines de millions » de requêtes quotidiennes depuis Google Search. La base juridique est le DMCA Section 1201 - la disposition anti-contournement de la loi sur le droit d'auteur.

Des chercheurs en sécurité ont entièrement décrypté la version 41 du script BotGuard, offrant un aperçu sans précédent de la façon dont Google distingue les humains des scrapers automatisés.

Qu'est-ce que SearchGuard ?

SearchGuard est le nom interne du système BotGuard de Google appliqué à Google Search. BotGuard (appelé en interne « Web Application Attestation ») protège les services Google depuis 2013 - YouTube, reCAPTCHA v3, Google Maps, et plus encore.

Contrairement aux CAPTCHAs traditionnels, SearchGuard fonctionne de manière invisible. Il collecte en continu des signaux comportementaux et les analyse à l'aide d'algorithmes statistiques - le tout sans que l'utilisateur le sache.

Le code s'exécute dans une machine virtuelle bytecode avec 512 registres, spécifiquement conçue pour résister à la rétro-ingénierie.

Comment Google détecte les bots

Le système suit quatre catégories de comportement en temps réel :

Mouvements de souris

Les humains ne déplacent pas les curseurs en ligne droite. Nous suivons des courbes naturelles avec accélération et décélération.

Google suit :

  • La trajectoire (forme du chemin)
  • La vélocité (vitesse)
  • L'accélération (changements de vitesse)
  • Le jitter (micro-tremblements)

Seuil de détection : Une variance de vélocité de souris inférieure à 10 est signalée comme comportement de bot. La variance humaine normale se situe entre 50 et 500.

Rythme du clavier

Chacun a une signature de frappe unique. Google mesure :

  • Les intervalles entre les touches
  • La durée de pression des touches
  • Les patterns d'erreur
  • Les pauses après la ponctuation

Seuil de détection : Une variance de durée de pression inférieure à 5ms indique une automatisation. La frappe humaine normale montre une variance de 20-50ms.

Comportement de défilement

Le défilement naturel a une vélocité variable, des changements de direction et une décélération basée sur l'inertie. Le défilement programmé est souvent trop fluide ou parfaitement uniforme.

Seuil de détection : Une variance de delta de défilement inférieure à 5px suggère une activité de bot. Les humains montrent typiquement une variance de 20-100px.

Jitter temporel

C'est le signal décisif. Les humains sont incohérents.

Google utilise l'algorithme de Welford pour calculer la variance en temps réel avec une utilisation mémoire constante. Si vos intervalles d'action ont une variance proche de zéro, vous êtes signalé.

Seuil de détection : Un nombre d'événements dépassant 200 par seconde indique une automatisation. L'interaction humaine normale génère 10-50 événements par seconde.

Les 100+ éléments DOM surveillés par Google

Au-delà du comportement, SearchGuard prend l'empreinte de votre environnement navigateur en surveillant plus de 100 éléments HTML :

  • Éléments prioritaires : BUTTON, INPUT (les bots ciblent souvent les éléments interactifs)
  • Structure : ARTICLE, SECTION, NAV, ASIDE, HEADER, FOOTER, MAIN, DIV
  • Interactif : DETAILS, SUMMARY, MENU, DIALOG

Il collecte également des données étendues sur le navigateur et l'appareil :

  • Propriétés Navigator (userAgent, platform, hardwareConcurrency, deviceMemory)
  • Propriétés d'écran (dimensions, colorDepth, devicePixelRatio)
  • Précision du timing de performance
  • État de visibilité (document.hidden, hasFocus())

Détection WebDriver

Le script vérifie spécifiquement les signatures d'automatisation :

  • navigator.webdriver (true si automatisé)
  • window.chrome.runtime (absent en mode headless)
  • Signatures ChromeDriver (préfixes $cdc_)
  • Marqueurs Puppeteer ($chrome_asyncScriptInfo)
  • Indicateurs Selenium (__selenium_unwrapped)

Pourquoi les contournements deviennent obsolètes en quelques minutes

Le script génère des tokens chiffrés utilisant un chiffrement ARX (Addition-Rotation-XOR) - similaire à Speck, un chiffrement par blocs léger publié par la NSA en 2013.

La découverte critique : la constante magique change. La constante cryptographique intégrée dans le chiffrement change à chaque rotation du script.

Valeurs observées lors de l'analyse de sécurité :

  • Timestamp 16:04:21 : Constante = 1426
  • Timestamp 16:24:06 : Constante = 3328

Le script est servi depuis des URLs avec des hashes d'intégrité. Quand le hash change, chaque client télécharge une nouvelle version avec de nouveaux paramètres cryptographiques.

Même si vous faites une rétro-ingénierie complète du système, votre implémentation devient invalide avec la prochaine mise à jour.

La connexion OpenAI

SerpAPI n'est pas n'importe quelle entreprise de scraping. OpenAI utilise partiellement les résultats de recherche Google scrapés par SerpAPI pour alimenter les réponses en temps réel de ChatGPT. SerpAPI listait OpenAI comme client sur son site web encore en mai 2024.

Google a refusé la demande directe d'OpenAI d'accéder à son index de recherche en 2024. Pourtant, ChatGPT avait toujours besoin de données de recherche fraîches.

Google n'attaque pas OpenAI directement - il cible un maillon clé de la chaîne d'approvisionnement qui alimente son principal concurrent IA.

La situation globale pour le scraping SERP

Ce procès suit un pattern de restriction d'accès :

  1. Janvier 2025 : Google a déployé SearchGuard, cassant presque tous les scrapers SERP du jour au lendemain
  2. Septembre 2025 : Google a supprimé le paramètre num=100, forçant les scrapers à faire 10x plus de requêtes

L'effet combiné : les approches de scraping traditionnelles sont de plus en plus difficiles et coûteuses à maintenir.

Si SearchGuard est qualifié de « mesure de protection technologique » valide sous le DMCA, chaque plateforme pourrait déployer des systèmes similaires avec une force légale. Sous le DMCA Section 1201, les dommages-intérêts légaux vont de 200 à 2 500 dollars par acte de contournement.

Ce que cela signifie pour les outils SEO

Pour quiconque utilise des outils qui scrapent les SERPs :

  • Coûts plus élevés : Plus de requêtes nécessaires, infrastructure plus sophistiquée requise
  • Risque juridique : Les scrapers tiers pourraient faire face à des procès similaires
  • Problèmes de fiabilité : Les contournements peuvent devenir obsolètes en quelques minutes

Le message est clair : l'ancien playbook du scraping est terminé.

Les APIs officielles restent la voie stable

La position de Google est essentiellement : « Vous voulez nos données ? Passez par les canaux officiels. »

Pour les professionnels SEO et les développeurs qui ont besoin d'un accès fiable et cohérent aux données de recherche, utiliser des APIs officielles - ou des fournisseurs d'API avec une infrastructure appropriée - reste l'approche la plus durable.

Chez Autom, nous continuons à surveiller ces développements et à adapter nos services en conséquence. Le paysage change, mais le besoin de données de recherche ne disparaît pas.

Lire aussi

Google Search teste la suppression du paramètre 100 résultats par page

Google

Google teste la suppression du paramètre 100 résultats par page

Équipe Autom
|
SerpAPI vs Serper vs Autom: Best SERP API in 2026

Google

SerpAPI vs Serper vs Autom: Best SERP API in 2026

Autom Team
|
Building an Automation To Build Title & Description for Your Keyword

Google

Building an Automation To Build Title & Description for Your Keyword

Autom Team
|
Decodo Alternative for Google Search Scraping

Google

Decodo Alternative for Google Search Scraping

Autom Team
|

SERP API

Discover why Autom is the preferred API provider for developers.

Déployer votre scraper SERPVoir les tarifs