Mesures anti-spam

17 Mars 2010 JC

Les spambots m'aiment, enfin ils aiment plug'n geek mais ce n'est pas franchement réciproque. Alors comme tout bon internaute, j'ai testé bon nombre de solutions et protections anti-spam pour le site dont voici une rapide synthèse.

 

 

nospam !

 

Le spambot

On peut en distinguer 3 types principaux:

Le test bot

Ce bot ne fait qu'envoyer des messages incompréhensibles et des urls tout aussi incompréhensibles. En fait, il ne fait que tester son taux de réussite au niveau du crack de captcha ou alors il vérifie que vous possédez bien un système de protection ou de modération. S'ils sont inoffensifs dans un premier temps, ils sont aussi le premier signe d'une future attaque un jour ou l'autre si on ne fait rien. Malheureusement pour nous, ils traverse aussi beaucoup de protections anti-spam de mailbox. D'un autre côté, Ils ne s'attaquent que très rarement aux commentaires pour se focaliser sur les formulaires de contact.

J'ai pu tester ce type de bot en local et en effet, il vous informe de son taux de réussite, du type de captcha, du nombre de champs du formulaire, etc. En gros, il informe le spammeur d'absolument tout ce qui peut être intéressant. Il suffira donc de reconfigurer le bot pour qu'il envoie le message désiré.

D'ailleurs, hier soir, c'est mon formulaire de contact qui a été bombardé pendant 2 heures par environ 500 mails... J'ai donc dû agir rapidement en modifiant intégralement le système de captcha.

le spambot de base

Lui, on le connaît, il ne se cache pas. Il vous balance une url bien visible et parfois, un message anecdotique vous conseillant antidépresseurs et autres substances. S'il passe votre formulaire, il est en général arrêté par le filtre email. S'ils s'attaquent aux commentaires, c'est une vraie plaie. L'idéal c'est donc de s'en débarrasser définitivement.

Le spambot évolué

Alors lui, c'est le summum du boulet. S'il passe votre système de protection pour les commentaires par exemple, attendez-vous à lire des conversations qui n'ont aucun sens accompagnées de superbes urls discrètement disséminées un peu partout. Il fera bien entendu la même chose dans un formulaire de contact où là, il vous enverra un message qui n'a, en général, aucun rapport avec votre site. Ils traversent bien souvent les filtres anti-spam mais sont, heureusement pour nous, rares.

 

Dream Captcha

 

Les solutions

On retrouve 3 types de protections pour contrer les spams. Je vais ignorer la technique consistant à jouer avec le .htaccess pour la bonne et simple raison, que contre les spams c'est peu efficace et surtout, il existe un risque de se couper du trafic légitime.

Le ban IP

Ce système consiste, une fois que le spam est repéré à bannir l'IP soit directement en jouant avec iptable (pour ceux qui ont des serveurs dédiés), soit à les bannir via le htaccess ou encore via une option du CMS. Dans 90% des cas, cette mesure est inefficace puisque les spambots ont la fâcheuse tendance à utiliser des réseaux de PCs zombies, donc à n'utiliser qu'une seule ip par message. Vous pourrez arrêter un ou 2 spams, mais jamais une attaque correctement construite. C'est donc une méthode "perte de temps" bien souvent.

La modération de ses commentaires

Si contre des spams qui s'attaquent à votre page contact, c'est sans effet, par contre, cela vous permet d'avoir le contrôle de vos commentaires. Que vous utilisiez wordpress, dotclear, drupal ou encore joomla, il existe diverses options qui nécessitent l'intervention d'un modérateur pour afficher les commentaires. Si c'est technique est séduisante au premier abord, contre une attaque en règle, vous serez inondés d'emails de notifications de commentaires. Cette méthode, sous Wordpress par exemple, peut être conjointement utilisée avec un plugin de type invisible captcha.

 

reCAPTCHA

 

Le captcha par image ou question

C'est ici ma méthode préférée. Certes, elle oblige les gens voulant participer à taper des caractères incrustés dans une image à chaque commentaire mais rien ne vous empêche d'installer un système d'enregistrement d'utilisateurs pour que justement, le captcha ne s'applique qu'aux invités, donc aux visiteurs non enregistrés.

Toutefois, les captchas et systèmes équivalents ne sont pas infaillibles et il en existe une grande variété, en voici quelques-uns :

Le captcha classique

Tout le monde le connaît et il en existe de nombreuses sortes. Vous pouvez en avoir un directement intégré à votre page contact ou vos commentaires ou alors utiliser des plugins divers et variés. Certains font même appel à des solutions tiers telle que reCAPTCHA, solution très connue. D'autres sont animés, rendant la lecture pour un bot plus difficile. Tous les captchas de ce genre ne sont malheureusement pas égaux devant une attaque et il n'y a qu'un test qui pourra vous dire si votre système est efficace. Ce n'est donc pas une solution miracle mais c'est en général plus que suffisant.

le mathguard

C'est celui où vous devez répondre à une simple addition ou soustraction de type 8+2 ou 5-1. Plug'n geek a eu ce type de protection et si la question est écrite en noir sur blanc c'est totalement inefficace et votre système sera dépassé rapidement. Il faut donc éviter ce système pour des mathguard plus évolués utilisant des images tons sur tons, les spambots ne feront pas la distinction entre reproduire le caractère ou répondre à la question. C'est ce dernier système que j'utilise en ce moment sur le formulaire.

Le magic word

Cette solution consiste à taper un mot précis contenu dans un texte. C'est le plus contraignant... Certains magic word nous obligeant carrément à naviguer dans le site pour aller chercher le mot dans un article précis. Par contre, il est d'une efficacité redoutable. Il ne s'utilise que en dernier recours et très souvent c'est son caractère dissuasif qui explique son installation.

La question

Il en existe principalement deux variantes. La première consiste à poser une simple question comme "quelle est la couleur du cheval blanc d'Henri IV ?" et l'utilisateur doit y répondre pour valider son opération. L'autre solution consiste à cliquer sur une image précise parmi, par exemple, 5 choix. La question est donc "où est l'ampoule ?" et vous n'avez qu'à cliquer dessus pour valider... Rien à écrire.

Ce système est très performant et efficace surtout si vous avez un fort roulement de questions que vous renouvelez.

Les plugins

Voici quelques plugins et autres modules anti-spam à tester pour votre site:

Wordpress

reCAPTCHA

Simple Captcha

SI CAPTCHA

amCaptcha

Invisible Captcha

Quiz

Akismet

Joomla

Sur cette page

DFcontact (formulaire de contact utilisant recaptcha ou Security Image, composant Joomla)

Flexicontact (formulaire de contact utilisant les questions/magic word)

[notez que les composants de commentaires ont tous un système build-in de captcha souvent suffisant]

Conclusion

Si pour le formulaire de contact, le spamfilter email suffit en général, pour les commentaires ont peu rapidement être dépassé si un spammer attaque directement votre site. Une solution anti-spam est donc devenu une nécessité et le sera de plus en plus avec le temps qui passe et les bots qui évoluent plus vite que les mesures pour les contrer. Pour ma part, je me contente d'un Captcha classique  et d'un mathguard que je peux changer quand bon me semble.


Vous aimerez peut-être:

Ajouter un Commentaire



Suivre PnG sur

Twitter Plug'n Geek Facebook Plug'n Geek Google + de Plug'n Geek

Publicité

Partenaires

La passion Manga SimpleGame Location et achats de JV

Les plus populaires

30 applications essentielles Android (Spécial tablettes)

30 applications indispensables sur Android

HTC Desire: Root et S-OFF

Mon Top 5 des ROMs Gingerbread HTC Desire

HTC Desire: ROMs Custom et Top 5

Blogoliste