J'ai déjà parlé des captchas et les différents commentaires à la suite de l'article m'ont donné l'envie de tester différentes solutions afin de rendre le système anti-spam le plus transparent possible. Du coup, je me suis réellement intéressé à tous ces petits trucs de type Akismet. D'ailleurs, ce dernier m'a déçu mais je suis tombé sur une excellente surprise dans mes recherches...

La déception Akismet

Tout d'abord, Akismet a été pour moi une grande déception pour différentes raisons :

-Aucune configuration possible côté client
-On ne comprend pas trop ce qui se passe
-Les nouveaux spams d'origine russe passent sans aucune difficulté
-Les "Spams Comment" bien construits sont une vraie plaie.

J'entends par Spam bien construit un spam qui poste un véritable message en n'utilisant que le champ URL pour y foutre son adresse optimisée et tout cela de manière automatique. J'y ai eu droit ce matin, directement venu des USA, le message disait un truc du genre :

"Salut, ton blog est sympa. Les informations sont intéressantes, il faudra que tu passes chez moi te choisir une robe". Alors forcément, j'ai un peu tiqué sur la dernière partie... C'est pas que je ne veux pas porter de robe, mais ce n'est pas franchement mon style, ok ?

De plus, ce sympathique commentaire était sur un ancien article assez bien référencé. En faisant une petite recherche avec les renseignements à ma disposition, Bing m'a trouvé de nombreux forums référençant le spammeur comme un bot reconnu et forcément problématique. Akismet a été incapable de gérer ce type de message, c'est pour ça qu'il n'a pas fait long feu. Le Spam Tracking c'est bien, mais si le bot spammeur ne fréquente pas le réseau bâti autour d'Akismet (principalement orienté autour de Wordpress), ils risquent de passer.

C'est alors que je suis entré en quête d'une solution alternative que je connaissais seulement de réputation, l'identification de Spammers via le projet Honey Pot.

Honey Pot : un projet ambitieux

Un sytème intelligent

Le système est assez simple. Des centaines de pièges sont installés afin d'y faire tomber les spammeurs. Une fois référencés, on décompte le nombre de spams envoyés. Le système, à l'origine, ne s'appliquait principalement qu'aux formulaires de contact mais il a évolué vers le "Spam Comment". On appelle cette technique le HTTP:BL (pour Blacklisting) car l'accès au site devient impossible pour les spammeurs recensés. Associé à ces pièges, un site peut installer un script qui va tenter de détecter de nouveaux bots (et valider les attaques de ceux déjà connus). Le système est efficace et performant.

Avec le temps, les ips référencées continuent à être surveillées afin de contrôler leur activité. Un système de points est alors mis en place. Située entre 0 à 255 (c'est ce que je pense puisque les plugins, dont je vais parler plus loin offre la possibilité d'aller de 0 à 255), les ips de spammeurs se voient attribuer une cote; 25 points équivaut à avoir envoyé 100 spams/attaques, 50 points 10 000 et 75 1 million.

Un site complet

Sur le site de Honey pot vous pourrez obtenir votre API Key (comme pour Akismet) ainsi qu'une somme très importante d'informations sur les spammeurs et pirates. Vous pourrez ,en effet, les identifier via un répertoire qui les classe par activité. Si vous avez un doute, rien ne vous empêche donc de vérifier si vous êtes en face d'un réel spammeur ou pirate.

De plus, vous pourrez également avoir des statistiques sur les pays qui règnent en maître dans le domaine. En gros, un contenu enrichissant et complet nous permettant de suivre en temps réel la chasse aux spams.

Des plugins et autres modules bien conçus

Autre grande force du projet, les divers plugins existants sont parfois vraiment paramétrables. Vous pouvez définir vous-même les paramétres de blocage et donc être plus ou moins laxiste. Ainsi, une côte de 25 pour une IP est définie par défaut mais vous pouvez la monter à 50 ou même 200 (vous n'arrêterez rien dans ce cas ou presque...). Le type d'ip à bloquer peut aussi être choisi et la page de redirection également.

Voici quelques plugins pour les CMS les plus connus :

Wordpress : HTTP:BL
Joomla : HTTP:BL
Drupal : HTTP:BL

Le projet Honey Pot couvre un nombre vraiment très important de CMS ainsi que Apache ou encore des forums et il est toujours possible de développer une application autour de l'API.

Alors le Verdict ?

Le système n'est toujours pas parfait et il se peut que vous bloquiez un utilisateur légitime. C'est le point faible de ce type de solution. Toutefois, certains plugins sont tellement paramétrables que vous pouvez lâcher la bride et tester différentes solutions. C'est donc un moindre mal.

De plus, c'est actuellement le seul système que je connaisse capable de s'attaquer efficacement aux derniers bots bien lourds contrairement à Akismet qui n'arrive pas encore à les gérer correctement. Il est également plus transparent dans son fonctionnement et utilisant un site vraiment intéressant, le Honey Pot Project a de beaux jours devant lui.