Scam Detector est un service en ligne qui attribue automatiquement un score de fiabilité sur 100 à n’importe quel site web, à partir d’une trentaine de critères techniques (âge du domaine, HTTPS, listes noires, IP, WHOIS, etc.). L’idée est séduisante, mais la méthodologie de l’outil et son modèle économique soulèvent de sérieuses questions, au point que de nombreux sites parfaitement légitimes se retrouvent classés comme dangereux. Voici ce que fait vraiment l’outil, ce qu’il ne fait pas, et les vérifications techniques à mener soi-même.
Ce que fait Scam Detector concrètement
L’outil expose un validator public à l’URL scam-detector.com/validator/{domaine}. Pour chaque domaine soumis, une page est générée automatiquement avec un score sur 100 et un verdict allant de « Verified. Safe » à « Untrustworthy. Risky. Danger ». On peut le constater sur n’importe quelle URL test, par exemple la page générée pour effetpapillon.fr : aucune intervention humaine, une page indexable produite à la volée.
L’algorithme combine, d’après la documentation de l’éditeur, une série de signaux techniques publics :
- âge du domaine et données WHOIS ;
- présence sur des listes noires antivirus ou anti-phishing ;
- validité et type du certificat SSL/TLS ;
- rang de popularité (type Alexa, Tranco, etc.) ;
- note Web of Trust (WOT) ;
- analyse sommaire du code source de la page d’accueil ;
- localisation géographique de l’IP et de l’hébergeur ;
- présence de mentions légales, de conditions générales et de moyens de contact.
Le score résultant est ensuite indexé par Google, ce qui explique pourquoi ces pages d’avis ressortent fréquemment dans les SERP lorsqu’on cherche le nom d’un site suivi de mots comme « avis » ou « arnaque ».
Les limites méthodologiques de l’outil
Sur le papier, la grille de Scam Detector ressemble à un audit technique automatisé classique. Le problème tient à trois facteurs.
Une analyse purement statique et superficielle
Les vérifications sont toutes faites sans contexte. Un site légitime hébergé en Lituanie, derrière Cloudflare, avec un domaine de moins d’un an, peut cumuler des « signaux négatifs » alors qu’il s’agit d’une configuration standard pour une jeune startup européenne. Le cas de la fiche de jobba.fr est typique : une jeune plateforme française se retrouve évaluée sur les mêmes critères qu’un site frauduleux établi depuis longtemps, sans aucune prise en compte de sa réalité opérationnelle. Inversement, un site frauduleux récent qui a soigné son HTTPS et son WHOIS peut obtenir un score honorable.
Un score qui ignore la réalité opérationnelle
L’outil ne sait rien de l’activité réelle : volume de transactions, satisfaction client, signalements à la DGCCRF ou à Signal Conso, retours sur les places de marché. Il évalue une signature technique, pas un commerce. C’est l’équivalent SEO d’un scan de ports : utile, mais incapable de qualifier la nature du service. Une comparaison rapide entre plusieurs fiches générées par l’outil — par exemple celle de cyroco.fr — montre que des sites aux profils très différents reçoivent des verdicts construits sur la même grille rigide, sans nuance sectorielle.
Un modèle économique qui pose question
C’est le point le plus problématique pour quiconque travaille dans l’IT ou la cybersécurité. Sur Trustpilot, le schéma documenté par des dizaines de propriétaires de sites est récurrent : une note initiale très basse (souvent 10 à 30 sur 100) avec la mention « Untrustworthy », suivie d’une remontée rapide du score — parfois jusqu’à 100/100 en quelques jours — une fois l’éditeur contacté et des documents fournis. La frontière entre validateur indépendant et levier de pression commerciale est ténue.
Comment vérifier vraiment la fiabilité d’un site, côté technique
Pour une équipe IT, sécurité ou e-commerce qui veut auditer un site (le sien ou celui d’un partenaire), aucun outil unique ne suffit. Voici la stack d’audit minimale, gratuite, et nettement plus fiable qu’un score agrégé.
1. WHOIS et historique du domaine
Avant tout, consulter le WHOIS brut via who.is, le registre de l’AFNIC pour les .fr, ou la commande whois en ligne de commande. On y vérifie la date de création, le registrar, et la cohérence des contacts. Wayback Machine permet en complément de voir si le site existait sous une autre forme, et depuis quand.
2. Audit du certificat TLS
Le test de référence reste SSL Labs (Qualys) : il évalue la chaîne de certification, les suites de chiffrement, le support TLS 1.3, la résistance aux attaques connues (BEAST, POODLE, Heartbleed), et attribue une note de A+ à F. Un site sérieux vise au minimum un A. Un domaine vraiment douteux sortira souvent un certificat Let’s Encrypt récent sur un sous-domaine wildcard, sans aucune information d’organisation.
3. En-têtes HTTP et configuration sécurité
L’outil securityheaders.com vérifie la présence des en-têtes HSTS, Content-Security-Policy, X-Frame-Options, Referrer-Policy, Permissions-Policy. Un site de e-commerce qui prend des paiements sans HSTS ni CSP est, au mieux, négligent. Mozilla Observatory donne un complément utile.
4. Réputation et indicateurs de menace
À croiser systématiquement :
- VirusTotal (URL et domaine) : agrège plus de 70 moteurs de détection.
- Google Safe Browsing : la base que Chrome, Firefox et Safari consultent.
- URLVoid et AbuseIPDB : signalements communautaires.
- Signal-Arnaques pour le contexte francophone.
5. Tableau récapitulatif des vérifications
| Vérification | Outil | Ce qu’on regarde |
|---|---|---|
| Identité du domaine | WHOIS, AFNIC | Date de création, registrar, contacts |
| Chiffrement | SSL Labs | Note A+/A, TLS 1.3, validité de la chaîne |
| Hardening web | securityheaders.com | HSTS, CSP, X-Frame-Options |
| Réputation | VirusTotal, Safe Browsing | Détections multi-moteurs |
| Antériorité | Wayback Machine | Cohérence dans le temps |
| Retours utilisateurs | Trustpilot, Signal-Arnaques | Volume et nature des plaintes |
Et si votre site est mal noté par Scam Detector ?
Première chose à savoir : un mauvais score n’a aucune incidence directe sur votre référencement Google. Les pages de Scam Detector sont des contenus tiers, traités comme n’importe quel avis. Ce qui peut nuire en revanche, c’est leur visibilité dans la SERP lorsqu’un prospect cherche votre marque.
Quelques actions raisonnables :
- Auditer objectivement votre site avec les outils listés plus haut, pour identifier les signaux techniques qui ont pu déclencher la mauvaise note (certificat faible, mentions légales manquantes, hébergement obscur, etc.).
- Corriger ce qui doit l’être : publier des mentions légales conformes, sécuriser le TLS, ajouter les pages CGV/CGU, exposer un contact réel.
- Travailler votre e-réputation en parallèle : avis Trustpilot, Google Business Profile, mentions sur des sites d’autorité de votre secteur. Plus votre marque est citée positivement par ailleurs, moins une page Scam Detector pèse dans la SERP.
- Demander une réévaluation à Scam Detector si vous le souhaitez, mais sans en faire une priorité absolue : le score peut évoluer, mais l’outil reste contesté.
FAQ
Scam Detector est-il un site officiel ou reconnu ?
Non. C’est un service privé édité par une société commerciale, sans agrément officiel d’aucun organisme de protection des consommateurs ou de cybersécurité. Ses scores n’ont aucune valeur juridique.
Faut-il prendre au sérieux une mauvaise note Scam Detector ?
Pas en tant que verdict, mais comme un signal à investiguer. Si le score est bas, vérifiez-vous-même les points techniques avec SSL Labs, VirusTotal et le WHOIS avant toute conclusion.
Scam Detector peut-il impacter mon SEO ?
Indirectement seulement. Google ne pénalise pas un site parce qu’un tiers lui attribue une mauvaise note. En revanche, une page Scam Detector bien positionnée sur votre nom de marque peut influencer la décision d’un prospect avant qu’il n’arrive sur votre site.
Quelle est la meilleure alternative pour vérifier un site ?
Aucune source unique ne suffit. La combinaison SSL Labs + VirusTotal + Google Safe Browsing + WHOIS + Wayback Machine donne une image bien plus précise et exploitable qu’un score agrégé, pour un coût nul.
Un score de 100/100 sur Scam Detector garantit-il qu’un site est fiable ?
Non. Un score élevé signifie seulement que les vérifications automatisées sont passées. De nombreuses arnaques récentes obtiennent de très bons scores parce qu’elles soignent leur enveloppe technique. La fiabilité d’un site se juge sur sa réalité opérationnelle, pas sur une notation algorithmique.
