La première fois que j’ai reçu un email qui commençait par « Cher propriétaire du site », j’ai failli répondre. Pas par naïveté, mais parce que le message listait des métriques Core Web Vitals qui ressemblaient aux miennes. Un LCP à 4,2 secondes sur mobile, un INP à 280 ms, un TTFB qui dépassait les 800 ms. C’était un copier-coller plausible de ce qu’on voit dans une Search Console mal réveillée. Sauf que je n’avais jamais partagé mon rapport Chrome UX avec personne. C’est le moment où j’ai ouvert les headers.
Un email bien ficelé qui singe un rapport Lighthouse
Trois blocs. Une capture floue d’un Lighthouse avec un score rouge. Une accroche sur l’urgence d’optimiser avant la prochaine mise à jour des systèmes de classement. Un lien pour « réclamer mon audit gratuit ». En dessous, une signature avec photo et lien LinkedIn vers un profil qui existait réellement, mais dont le propriétaire ignorait tout de cet email.
L’objectif est de vous faire cliquer. Le formulaire derrière demande l’URL du site, l’email pro, parfois un accès Search Console en lecture seule. Trois suites : vente de liens sponsorisés, siphon des requêtes pour revente, ou pixel de tracking pour cartographier l’audience.
Le faux audit Core Web Vitals est la porte d’entrée. Le vrai business derrière : netlinking opaque ou revente de données Search Console. Ces emails partent par milliers, générés semi-automatiquement à partir de bases Whois et de sitemaps publics.
Le spam SEO a migré du duplicate content vers le LCP
Il y a cinq ans, les mêmes acteurs spammaient sur le duplicate content. Aujourd’hui, ils parlent LCP, INP, TTFB : un signal de classement documenté que beaucoup de responsables de site ne maîtrisent pas, et la peur de mal performer sur un critère technique ouvre un boulevard à l’ingénierie sociale.
Le spam joue sur un biais cognitif. Vous savez que votre LCP est peut-être un peu haut, vous avez vu un Lighthouse passer dans le rouge. L’email nomme le problème, vous vous dites « ils ont vraiment analysé mon site ». En réalité, l’expéditeur n’a aucun accès à vos données de terrain : un script Puppeteer capture la page, récupère les métriques lab, les colle dans un template.
⚠️ Attention : ne confondez jamais un score Lighthouse exécuté par un tiers avec un diagnostic de performance. Les données lab dépendent de la machine, de la connexion et du lieu d’exécution. Uniquement les données de terrain du rapport Chrome UX ou de votre Search Console sont fiables pour évaluer l’expérience utilisateur réelle.
Pour approfondir la méthodologie d’un vrai audit, je vous renvoie à notre analyse sur les fondamentaux des Core Web Vitals.
Ce que les headers de l’email racontent sur l’expéditeur
En ouvrant les headers : SPF qui passe, DKIM cassé. L’email transite par une plateforme d’envoi légitime avec un compte gratuit. L’adresse de réponse pointe vers un domaine enregistré trois jours plus tôt via un registraire offshore, avec un caractère substitué pour imiter une agence SEO connue. Du typosquatting low-cost.
Pour casser l’équation, on ne répond pas, même pas pour demander à être retiré. Chaque réponse confirme qu’un humain lit.
Ce que vous risquez si vous donnez suite
Le scénario le plus fréquent, c’est la tentative de vente de liens. On vous propose un article sponsorisé sur un média à forte autorité, avec une ancre exacte sur votre mot-clé principal. Le prix est attractif, le DA affiché est élevé, le rapport vous est envoyé en PDF. Si vous acceptez, vous achetez un lien depuis un site qui fait partie d’un réseau maillé. Google détecte ces réseaux régulièrement. Les pénalités manuelles pour liens non naturels existent encore, et le désaveu est un chantier long.
Le scénario plus vicieux, c’est la demande d’accès en lecture à votre Search Console. L’argument est de « réaliser un audit technique complet ». Une fois l’accès obtenu, le spammeur extrait l’intégralité de vos requêtes, vos pages les plus performantes, vos taux de clics. Ces données sont revendues à vos concurrents ou utilisées pour cibler d’autres campagnes de spam. Vous ne le saurez jamais, car aucun email d’alerte n’est envoyé quand un utilisateur consulte votre Search Console.
Auditer vos Core Web Vitals sans intermédiaire
La meilleure défense, c’est de savoir lire vos propres métriques. Vous n’avez besoin ni d’un audit gratuit, ni d’un inconnu qui vous contacte par email.
Commencez par le rapport Core Web Vitals de la Search Console. Il utilise les données du champ Chrome UX Report, c’est-à-dire les mesures réelles de vos visiteurs. Regardez le pourcentage de pages qui passent les seuils, et sur quel indicateur vous êtes le plus en retard. Si 60 % de vos URL ont un LCP supérieur à 4 secondes, vous avez un problème structurel, probablement lié au temps de chargement du premier élément visible.
Ensuite, ouvrez votre onglet Network dans les DevTools, cochez Disable cache, simulez une connexion 4G lente. Mesurez le LCP en local pour comprendre quel élément bloque. Ce n’est pas le LCP de vos utilisateurs, mais ça vous donne une piste de débogage reproductible. Quand vous poussez une optimisation, suivez l’évolution dans la Search Console sur 28 jours. C’est le cycle de collecte des données de terrain. Rien ne sert de rafraîchir Lighthouse toutes les heures.
Si vous développez une SPA React et que vous cherchez à réduire le temps de rendu initial, une piste souvent ignorée est le choix du state management. Un conteneur d’état trop verbeux peut augmenter le nombre de rendus inutiles au montage. Sur ce point, la légèreté de Zustand pour le state management React a souvent suffi à faire passer nos LCP sous la barre des 2,5 secondes sans refonte complète.
Bloquer ces spams à la racine
Signaler l’email comme hameçonnage dans votre client de messagerie aide les filtres bayésiens à s’améliorer. Si le spam usurpe une agence réelle, prévenez-la : elle pourra alerter ses clients et demander un takedown du domaine contrefait.
Sur votre propre domaine, configurez un enregistrement DMARC en p=none pour surveiller, puis p=reject une fois vos expéditeurs légitimes authentifiés. Ça n’empêche pas de recevoir du spam, mais ça empêche qu’on usurpe votre domaine pour en envoyer.
Côté formulaire de contact : CAPTCHA discret et honeypot. Une fois votre adresse dans une base, il est presque impossible de l’en faire sortir.
Pour parser ces headers rapidement, le comparatif Claude Code vs Cursor IDE tranche en faveur de l’assistance contextuelle locale sur les champs SPF et DKIM.
Questions fréquentes
Un email d’audit peut-il être légitime ? Oui, si vous avez sollicité un prestataire et que vous attendez son rapport. En dehors de ce cadre, un email non sollicité avec des données de performance précises est presque toujours un faux. Les vrais consultants ne commencent pas par un email standardisé adressé à « Cher propriétaire ».
Que faire si j’ai déjà cliqué sur le lien sans donner mes accès ? Videz votre cache et vos cookies, changez votre mot de passe Search Console si vous étiez connecté au moment du clic, et surveillez la liste des utilisateurs autorisés sur votre propriété. Supprimez tout compte que vous ne reconnaissez pas.
Pourquoi Google ne bloque pas ces emails ? Google bloque une très grande partie des spams via ses filtres, mais les techniques d’envoi évoluent. Les spammeurs utilisent des domaines neufs, des serveurs propres, tournent les signatures. La détection n’est jamais parfaite. Votre vigilance reste le dernier filtre.
