Back button hijacking : Google frappe le 15 juin 2026, tu as 14 jours
Ecoute l'intro (1 min 30) :
Lundi matin, 8h23. Un client PME dans le transport logistique en Lot-et-Garonne me forwarde un email de Google Search Console. Objet : Avis concernant le contenu de votre site. Corps : back button hijacking detecte, date d'application fixee au 15 juin 2026. Quatorze jours pour corriger. Son agence ne savait pas ce que ca voulait dire. J'ai passe l'apres-midi avec lui. Resultat : trois plugins et un script publicitaire tiers retires, test de conformite OK quarante-huit heures plus tard. Pas de penalite.
Tu lis cet article le 1er juin 2026. Il te reste exactement 14 jours. C'est court, mais faisable si tu suis la methode que je vais te donner. Le diagnostic prend 10 minutes. La correction, selon les cas, de 1 heure a 2 jours. Tu trouveras dans ce guide : la definition claire, la politique officielle Google avec ses deux modes de sanction, les 3 techniques concernees les plus frequentes, le test DevTools pas a pas, et le plan de correction priorise.
C'est quoi le back button hijacking ?
Le back button hijacking, c'est quand un site manipule le comportement du bouton retour du navigateur pour empecher l'utilisateur de revenir a la page precedente naturellement, souvent pour le forcer a rester plus longtemps ou lui afficher une publicite non sollicitee.
Concretement : tu arrives depuis Google sur une fiche produit. Tu cliques retour. Au lieu de revenir aux resultats Google, tu te retrouves sur une autre page du site que tu n'as pas demande a visiter. Ou une pop-up te bloque le chemin. Ou tu dois cliquer retour cinq fois pour vraiment partir. Ca te parle ? Tu l'as vecu des dizaines de fois sans mettre de nom dessus.
Techniquement, c'est rendu possible par l'API History du navigateur, via pushState et l'evenement popstate. Ces outils sont legitimes dans une Single Page Application (React, Vue, Angular). Mais quand un site les utilise pour injecter de faux etats dans l'historique ou intercepter le clic retour pour declencher une pub, c'est la que Google dit spam.
Google en parle depuis des annees dans ses consignes qualite. Mais jusqu'en avril 2026, c'etait dans la categorie "pratiques trompeuses" sans sanction automatisee definie. Le 13 avril 2026, le Google Search Central Blog a integre le back button hijacking dans les infractions spam explicites avec date d'application au 15 juin. Et maintenant c'est pour de vrai.
Pourquoi Google sanctionne ca au 15 juin 2026
Google a accorde deux mois de preavis, ce qui est rare. Le deploiement de sa politique anti-spam IA en mars 2026 s'est fait en moins de 24 heures sans avertissement. Ici, deux mois de delai signifient deux choses : le probleme est repandu et il y a une part de responsabilite technique qui echappe parfois au proprietaire du site, les scripts tiers notamment.
L'annonce precise que Google va appliquer deux types de sanctions distincts. Premier type : les actions manuelles de spam. Une equipe qualite Google identifie le site manuellement, l'infraction est notifiee dans Search Console sous "Securite et actions manuelles", et le site est retrograde jusqu'a soumission d'un recours et correction validee. Delai de traitement : 4 a 6 semaines dans les cas simples.
Deuxieme type : les declassements algorithmiques automatises. Le crawler Google detecte les patterns de BBH via des signaux comportementaux et pondere les pages a la baisse sans action manuelle. Plus difficile a identifier car sans notification Search Console. Impact estime par les premieres analyses : de -40 a -60 % de trafic organique sur les pages touchees.
Google precise aussi un point crucial : tu es responsable meme si le comportement vient d'un script tiers. Verbatim de l'annonce officielle : "Site owners are still responsible for what happens on their pages, even when the behavior originates from an ad-tech vendor, plugin, recommendation engine, or script loaded through a tag manager."
En clair : si ton theme WordPress charge un plugin d'exit-intent qui injecte des popstate listeners agressifs, c'est ton probleme. Pas celui du plugin. Un audit SEO complet pour identifier les scripts malveillants permet de regler ca en une journee si tu sais ou chercher.
Les 3 techniques BBH les plus frequentes
| Technique | Mecanisme | Exemples concrets | Risque Google |
|---|---|---|---|
| History Stack Stuffing | Injection de faux etats via pushState repete dans l'historique navigateur |
Devoir cliquer retour cinq fois sur le meme site avant de partir. Frequent sur sites d'actu et pubs display. | Eleve |
| Popstate Listener Abuse | Interception de l'evenement retour pour declencher une action non demandee (pub, pop-up, redirect) | Pop-up d'exit-intent declenchee au clic retour, offre commerciale bloquante avant de partir. | Tres eleve |
| Redirect Loop | Page A redirige vers Page B, qui redirige vers A au clic retour. Boucle sans issue. | Certains sites AMP, landing pages affilies, pages de telechargement. Piege le navigateur. | Eleve |
Le history stack stuffing est la technique la plus repandue chez les PME parce qu'elle vient souvent d'un plugin tiers charge sans le savoir. Un theme premium achete sur Themeforest en 2022 peut inclure un module de recommandation d'articles qui injecte des pushState a chaque scroll. Tu ne l'as jamais configure manuellement. Il tourne en fond depuis trois ans. Et depuis le 15 juin, Google peut te penaliser pour ca.
La regle d'or pour les SPA (Angular, React, Vue) : pushState est legitime si chaque etat injecte correspond a un contenu reellement consultable par l'utilisateur. Ce qui est prohibe, c'est l'injection d'etats sans contenu correspondant, uniquement pour retarder le depart.
Qui est vraiment expose ?
Tout le monde ne l'est pas. Un blog WordPress simple avec un theme leger et trois plugins usuels : quasi zero risque. Mais si tu coches l'une des cases suivantes, lis la suite tres attentivement.
Sites e-commerce : les plateformes Shopify, PrestaShop et WooCommerce chargent souvent des applications tierces d'exit-intent (Privy, OptiMonk, Klaviyo pop-up) qui utilisent des popstate listeners. Verifie tes apps avant tout autre test.
Sites medias ou blogs avec publicite display : les regies comme Taboola, Outbrain et les reseaux de recommandation d'articles peuvent injecter des scripts problematiques. Tu n'as souvent aucune visibilite sur ce qu'ils chargent cote client.
Sites WordPress avec theme premium ancien : les themes achetes entre 2019 et 2023 sur Themeforest incluaient souvent des modules de "smart navigation" ou de "breadcrumb dynamique" qui manipulaient l'historique. Ces modules sont rarement mis a jour.
Pages AMP alternatives : certaines implementations AMP creaient des redirect loops entre la page AMP et la version standard. Google l'a documente comme cas d'usage typique de BBH dans son annonce d'avril 2026.
Ce que j'observe sur mes audits : 60 % des PME francaises avec un site de plus de trois ans et une stack WordPress plus plugins plus publicite display ont au moins un comportement BBH potentiel. Seul le test DevTools tranche. Et pour une checklist de conformite SEO technique pour PME complete, on passe en revue tous ces scripts dans un audit approfondi.
Diagnostic DevTools en 10 minutes
Pas besoin d'un developpeur. Chrome suffit. Voici la procedure exacte que j'utilise avec mes clients depuis l'annonce Google d'avril.
Etape 1 : ouvre ton site depuis un onglet prive
La navigation depuis un onglet normal pollue l'historique. Utilise Ctrl+Shift+N (Chrome) pour une session propre. Accede a une page de contenu representative, par exemple ta page d'accueil ou un article de blog.
Etape 2 : ouvre DevTools et cible les popstate
Raccourci : F12 puis onglet Sources. Dans le panneau de gauche, clique sur "Event Listener Breakpoints". Descends jusqu'a "Control" et coche "popstate".
Etape 3 : teste le clic retour
Navigue sur deux ou trois pages de ton site en simulant un vrai parcours utilisateur, puis clique le bouton retour. Si DevTools s'arrete sur un breakpoint, c'est qu'un listener popstate est actif. Note la source du script dans la colonne Source.
Etape 4 : verifie le stack History
Dans la console DevTools, tape :
history.length
Sur une page normalement visitee, cette valeur doit etre entre 1 et 5. Si tu obtiens 15, 20 ou plus apres avoir visite deux ou trois pages, tu as du history stack stuffing en cours.
Etape 5 : teste depuis mobile
Certains comportements BBH ne sont actifs que sur mobile. Utilise le mode emulation mobile dans DevTools (Ctrl+Shift+M) et refais le test retour.
Si tous les tests passent sans event, sans breakpoint, et history.length reste raisonnable : tu es probablement propre. Pour verifier si une action manuelle a deja ete notifiee, Search Console pour reperer une action manuelle sur ton site est l'outil complementaire indispensable.
Quiz : mon site fait-il du back button hijacking ?
1. Mon site charge-t-il un plugin d'exit-intent ou de pop-up de sortie ?
2. Mon site utilise-t-il une regie publicitaire display tierce (Taboola, Outbrain, Criteo, AdSense adaptatif) ?
3. Mon site utilise-t-il un defilement infini (infinite scroll) pour le blog ou les produits ?
4. Mon site a-t-il des pages AMP ou une version mobile alternative avec des redirections entre versions ?
5. As-tu deja clique retour sur ton propre site et atterri sur une page que tu n'avais pas demande ?
Comment corriger avant le 15 juin
Tu as 14 jours. Voici le plan priorise selon le niveau de risque detecte par le diagnostic.
Priorite 1 : les plugins exit-intent (1 a 2 heures)
Desactive ou supprime temporairement le plugin d'exit-intent. Reteste avec DevTools. Si le probleme disparait, cherche une alternative qui n'utilise pas les popstate listeners. La plupart des editeurs serieux ont mis a jour leurs widgets en conformite en mai 2026. Ceux qui ne l'ont pas fait : supprime-les pour l'instant.
Priorite 2 : les regies pub (30 minutes)
Si tu utilises Taboola ou Outbrain, regarde dans leurs dashboards si une mise a jour de tag est disponible. Ces deux regies ont publie des notes techniques sur leur conformite au BBH policy en mai 2026. Si tu charges leurs scripts via Google Tag Manager, assure-toi d'utiliser la version la plus recente de leur code d'integration.
Priorite 3 : audit JavaScript manuel (2 a 4 heures)
Pour les developpeurs ou avec l'aide d'un prestataire : cherche dans ton code source toute occurrence de window.addEventListener('popstate' et history.pushState. Pour chaque occurrence, demande-toi : est-ce legitime (SPA, pagination dynamique avec URL qui change) ? Si non, retire-le. Verifie aussi les redirections qui perturbent la navigation utilisateur sur tes pages AMP ou landing pages.
Priorite 4 : test final depuis Google
Une fois les corrections en place, ouvre Google, cherche ton site, clique sur un resultat organique, navigue sur deux pages, puis clique retour. Tu dois revenir sur les resultats Google en un seul clic. Teste sur desktop ET mobile. Si c'est le cas : tu es conforme.
Soumettre un recours si tu as recu une notification Search Console
Va dans Search Console, section "Securite et actions manuelles", soumets une demande de reexamen apres correction. Explique precisement ce que tu as retire et pourquoi. Les demandes detaillees sont traitees en priorite.
Mini-calculateur : evalue ton score de risque BBH
Estimation indicative. Seul le test DevTools confirme la conformite reelle.
Ce que ca change pour ton SEO
La penalite BBH ne touche pas necessairement tout le site. Google cible les pages ou le comportement est detecte. Si c'est un script charge uniquement sur les pages produits, ce sont les pages produits qui trinquent. Si c'est dans le header global, la c'est tout le site.
Ce qui change aussi, c'est le signal UX global. Depuis les analyses du Core Update mars 2026, on sait que comment les Core Web Vitals mesurent l'experience de navigation est un facteur de differentiation fort. Le BBH degrade directement le signal de satisfaction utilisateur : un utilisateur qui revient immediatement a Google depuis ton site est un signal negatif sur la requete. Si tu cumules ca avec une action manuelle spam, tu as un double signal negatif difficile a effacer rapidement.
Bonne nouvelle : une fois le probleme corrige et le recours accepte, le retablissement est generalement rapide, sous quatre a huit semaines selon les analyses de cas publiees par Search Engine Land en mai 2026. Ce n'est pas une penalite qui marque durablement le domaine comme le Penguin des annees 2010.
Pour la prevention long terme, la regle est simple : avant d'integrer un nouveau script tiers, teste-le dans un environnement de staging avec le diagnostic DevTools decrit plus haut. Deux minutes de test evitent deux mois de procedure de recours. Et si tu veux construire une autorite qui resiste aux rollouts, consolider l'autorite de ton site avant un rollout reste le meilleur pare-feu.
Pour le profil global de ton site, les signaux EEAT qui protegent ton site contre les sanctions Google jouent en ta faveur lors de l'evaluation d'un recours. Et si tu veux maintenir ton trafic pendant la periode de correction, la strategie SEO pour maintenir son trafic malgre les mises a jour donne des leviers concrets.
Video : Amit Tiwari : Back Button Hijacking, New Google Spam Policy
Questions frequentes
Qu'est-ce que le back button hijacking exactement ?
C'est une technique qui manipule le bouton retour du navigateur pour empecher l'utilisateur de quitter un site naturellement. Via l'API History du navigateur (pushState, popstate), certains sites injectent de faux etats dans l'historique ou interceptent le clic retour pour declencher une pop-up, une redirection ou un rechargement non demande. Google l'a officiellement classe comme pratique malveillante spam en avril 2026.
Quand Google commence-t-il a sanctionner exactement ?
L'application de la politique est fixee au 15 juin 2026. Google a publie l'annonce le 13 avril 2026 en accordant deux mois de delai. Les notifications Search Console avant cette date sont des avertissements preventifs. La sanction effective demarre le 15 juin via deux mecanismes : actions manuelles et declassements algorithmiques automatises.
Mon site PME est-il vraiment concerne ?
Si ton site n'utilise ni plugin d'exit-intent, ni regie pub display tierce, ni defilement infini, ni pages AMP alternatives, tu es probablement propre. Pour en etre sur, fais le test DevTools decrit dans cet article (10 minutes). Si history.length explose a plus de 10 apres deux ou trois clics ou qu'un popstate listener se declenche au clic retour, tu es concerne.
Comment corriger si mon plugin tiers est responsable ?
Desactive d'abord le plugin suspect et reteste. Si le probleme disparait, cherche une mise a jour de conformite chez l'editeur. La plupart des editeurs serieux ont publie des correctifs en mai 2026. Si aucune mise a jour n'est disponible, supprime le plugin et cherche une alternative conforme. Tu restes responsable de ce que les scripts tiers font sur tes pages.
Quelle difference entre action manuelle et declassement algorithmique ?
L'action manuelle est notifiee dans Search Console. Elle est reversible via une demande de reexamen apres correction. Le declassement algorithmique est silencieux : tu le vois uniquement dans une baisse de trafic sans notification. Les deux peuvent toucher les memes pages, mais le declassement algorithmique se leve automatiquement quand Google recrawle et constate la conformite, generalement sous deux a huit semaines.
Mon site peut-il faire du BBH sans que je le sache ?
Oui, c'est la situation la plus frequente. Un plugin installe il y a trois ans, un script de regie pub, un theme premium mal maintenu peuvent injecter ces comportements sans que tu l'aies configure. C'est pourquoi un audit annuel des scripts JS charges est indispensable pour toute PME avec une stack WordPress plus plugins.
Sources et references
- Introducing a new spam policy for "back button hijacking" - Google Search Central Blog, 13 avril 2026.
- Google Search to penalize back button hijacking schemes - Search Engine Land, avril 2026.
- New Google Spam Policy Targets Back Button Hijacking - Search Engine Journal, avril 2026.
- Google Search Goes After Back Button Hijacking - Search Engine Roundtable, avril 2026.
- Google to punish sites that trap people with back button tricks - BBC News, avril 2026.
- Le "back button hijacking" desormais penalise par Google - LeptiDigital, avril 2026.
- Google durcit ses regles : le back button hijacking sanctionne - ZDNet France, avril 2026.
- Window: popstate event - MDN Web Docs, Mozilla.
Ton site est conforme au 15 juin ? Verifions ensemble.
Un diagnostic back button hijacking complet prend une heure. Si on identifie un probleme, on te donne un plan de correction precis avec les scripts concernes. Sans jargon, sans retention. Tu preferes qu'on gere ca pour toi ? Faire appel a un consultant SEO pour un audit de conformite peut t'eviter une penalite qui dure six semaines.
Prendre contact maintenant