DataDome

Honeypot anti-spam : 5 méthodes pour arrêter les bots sans CAPTCHA

Table des matières
Bot management Credential stuffing
Paige Tester, Director of Content Marketing
1 Sep, 2022
|
min

Les CAPTCHA sont-ils la solution anti-bot la plus idéale pour votre site web ?

Tout d’abord, qu’est-ce qu’un CAPTCHA ?
CAPTCHA est un acronyme qui signifie « Completely Automated Public Turing Test to Tell Computers and Humans Apart » (Test de Turing public entièrement automatisé pour distinguer les ordinateurs et les utilisateurs).

Le CAPTCHA est-il la meilleure solution anti-bot ? De nombreux utilisateurs d’Internet connaissent les CAPTCHA traditionnels, mais seraient surpris d’apprendre qu’ils existent depuis plus de deux décennies. Certains disent que le premier CAPTCHA a été inventé en 1997 par l’équipe d’Altavista, tandis que d’autres citent la version développée par Manuel Blum, Luis von Ahn, John Langford et Nicholas Hopper de l’Université Carnegie Mellon en 2000.

Comme le suggère le nom derrière l’acronyme, un CAPTCHA est un test (de Turing) conçu pour différencier les utilisateurs humains d’Internet des bots logiciels, en proposant un challenge facile à résoudre pour les utilisateurs mais très difficile, idéalement impossible, pour les programmes.

Les premiers CAPTCHA étaient assez simples. On demandait aux utilisateurs de lire du texte déformé ou masqué et de taper les lettres dans une boîte de réponse (vous vous en souvenez probablement). Avec le temps, les CAPTCHA ont évolué de manière significative. En 2009, Google a acquis reCAPTCHA, l’un des leaders du marché.

Problèmes croissants des CAPTCHA traditionnels

Des années 2000 jusqu’au début des années 2010, les CAPTCHA étaient assez efficaces pour bloquer les bots malveillants, qui restaient incapables de résoudre les tests. Les CAPTCHA étaient largement lors des créations de comptes, de la soumission de formulaires (pour éviter le spam de formulaire), de la publication de commentaires sur des blogs, de la confirmation d’achats en ligne et d’autres activités nécessitant une vérification humaine.

Aujourd’hui, les CAPTCHA traditionnels ne sont plus considérés comme la solution idéale pour lutter contre le spam de formulaire et d’autres attaques liées aux bots, principalement à cause de deux problèmes majeurs :

1. Efficacité des CAPTCHA traditionnels

Les concepteurs et opérateurs de bots se sont perfectionnés, tout comme leurs bots et programmes. L’intelligence artificielle actuelle est désormais capable de résoudre le reCAPTCHA de Google avec une précision alarmante. En fait, nos données clients montrent que 50% des reCAPTCHA réussis et d’autres CAPTCHA traditionnels sont en réalité complétés par des bots.
En conséquence, pour bloquer efficacement les bots malveillants, les tests CAPTCHA traditionnels ont dû devenir plus complexes, créant un second problème :

2. Les CAPTCHA traditionnels nuisent à l’expérience utilisateur (UX)

Selon des études menées par l’Université Stanford, environ 15 % des utilisateurs abandonnent un service web lorsqu’ils sont confrontés à un test CAPTCHA classique. Pourquoi ?
Car même si l’intention d’un CAPTCHA est d’être le plus facile possible pour les utilisateurs humains tout en étant très difficile pour les bots, c’est devenu un véritable casse-tête en raison des progrès de l’IA et de l’apprentissage automatique.

Présenté à un utilisateur, un CAPTCHA traditionnel (peu importe sa « simplicité ») ralentira inévitablement l’utilisateur et ajoutera de la friction pour compléter l’action désirée (que ce soit la navigation sur un site web, la soumission d’un formulaire, un achat en ligne ou une recherche).

Ainsi, les CAPTCHA traditionnels entravent l’expérience utilisateur en interrompant et en ralentissant leur parcours sur le site. Un autre problème d’UX lié aux CAPTCHA traditionnels est qu’ils sont souvent critiqués pour leur inaccessibilité aux utilisateurs ayant des handicaps, en particulier ceux qui sont malvoyants. L’accessibilité utilisateur est un aspect de plus en plus important de l’UX.

Les CAPTCHA sont-ils toujours efficaces ?

En fin de compte, un CAPTCHA idéal—lorsqu’il est utilisé correctement—peut être un signal utile pour la détection des bots afin de garder les bots malveillants hors de votre plateforme. Mais un CAPTCHA ne devrait jamais être votre première ligne de défense contre les bots, et les CAPTCHA traditionnels continueront d’être de plus en plus contournés au fil du temps.

Votre site a-t-il besoin d’un CAPTCHA ?

Comme discuté, l’implémentation d’un CAPTCHA traditionnel sur votre site web peut avoir un impact négatif sur l’expérience utilisateur car il oblige chaque utilisateur à perdre du temps à prouver qu’il n’est pas un bot.

Pour déterminer si vous devez implémenter un CAPTCHA, posez-vous les questions suivantes :

  • Recevez-vous une quantité substantielle de trafic au quotidien ?
  • Autorisez-vous les soumissions de formulaires sur votre site ?
  • Recevez-vous beaucoup de spams de formulaires ?
  • Autorisez-vous les soumissions de commentaires sur vos articles de blog ? (Ou votre site dispose-t-il d’un forum entièrement fonctionnel ?)
  • Traitez-vous des paiements et des transactions sur votre site web ? (Sans intégrer un portail de paiement tiers ?)

En bref, si votre plateforme présente une action où la vérification de l’utilisateur est requise et que vous répondez « oui » à l’une des questions ci-dessus, alors l’implémentation d’un CAPTCHA pourrait être une bonne idée pour vous.

Cependant, si votre site n’a pas vraiment besoin de vérification des utilisateurs et publie principalement du contenu statique sans beaucoup de possibilités de contenu généré par les utilisateurs, il se peut qu’il n’ait pas vraiment besoin d’un CAPTCHA.

Alternatives traditionnelles au CAPTCHA : comment éviter le spam de formulaire sans un CAPTCHA classique ?

Alors, quelles sont les alternatives pour bloquer les bots malveillants, éviter le spam de formulaire et défendre notre système contre d’autres activités liées aux bots ?

De nombreuses technologies et approches ont été développées pour la protection contre le spam et les bots. Ci-dessous, nous discuterons de certaines des meilleures alternatives traditionnelles au CAPTCHA disponibles sur le marché aujourd’hui :

1. Le honeypot anti-spam

Le honeypot, ou pot de miel, est comme son nom l’indique un « piège » conçu pour attirer les bots et les programmes informatiques afin qu’ils révèlent accidentellement leur identité.

L’idée est de fournir quelque chose qui va attirer le bot, le « miel », qui est invisible ou caché aux utilisateurs humains légitimes.

Par exemple, pour combattre le spam de formulaire, une pratique courante et efficace de honeypot anti-spam consiste à ajouter un champ caché (généralement via du code CSS ou JavaScript ; ou simplement en utilisant la même couleur de police que l’arrière-plan de la page) dans le formulaire. Les utilisateurs humains ne verront pas ce champ caché, mais il sera analysé par les bots.

Ensuite, il suffit de filtrer les soumissions de formulaire qui sont soumises avec le champ caché rempli.

Les techniques de honeypot anti-spam peuvent être utilisées de différentes manières, mais le principe reste le même : attirer les bots avec quelque chose d’attrayant pour eux (en fonction de l’objectif des bots) et le rendre invisible aux utilisateurs humains.

Honeypots vs reCAPTCHA

Honeypot :

  • Un honeypot CAPTCHA est un champ de formulaire caché ou un lien sur une page web qui est invisible pour les utilisateurs mais peut être détecté par des bots automatisés.
  • Il est conçu pour attraper et bloquer les bots spammeurs en les trompant pour interagir avec le champ caché, contrairement aux utilisateurs humains.
  • Lorsque le champ honeypot est rempli, cela indique la présence d’un bot, et la soumission du formulaire peut être rejetée.

reCAPTCHA :

  • reCAPTCHA est une mesure de sécurité qui présente aux utilisateurs un challenge visible, tel que l’identification d’image ou des puzzles, pour vérifier leur identité humaine.
  • Il a été initialement développé par Luis von Ahn et est maintenant la propriété de Google.
  • Il distingue les utilisateurs des bots en fonction de l’interaction de l’utilisateur avec le challenge, permettant aux utilisateurs authentiques de poursuivre sur le site, tout en bloquant les bots automatisés.

2. Détection par mesure du temps

Une autre technique anti-spam courante qui n’implique pas un CAPTCHA est de détecter les activités des bots en mesurant le temps nécessaire pour accomplir certaines tâches.

Les bots sont naturellement conçus pour être beaucoup plus rapides que les utilisateurs humains. Ainsi, en mesurant le temps requis par un user-agent pour compléter une tâche (par exemple, remplir et soumettre un formulaire), nous pouvons différencier les bots des utilisateurs humains légitimes.

Bien qu’un opérateur de bot puisse ralentir l’opération d’un bot, les bots fonctionnent sur des ressources qui peuvent être coûteuses (par exemple, lorsque le bot est une location), donc la plupart des opérateurs de bots préfèrent exécuter les tâches aussi rapidement que possible.

3. Solution de gestion de fraude en ligne et de bots avec CAPTCHA intégré

Lorsque la détection par mesure du temps est en place, l’objectif est de ralentir considérablement les activités des bots pour décourager l’opérateur du bot. Espérons qu’il se frustrera et abandonnera la cible de votre site web.

L’alternative la plus efficace aux CAPTCHA traditionnels pour détecter et gérer les activités des bots est une solution dédiée de gestion de bots qui peut détecter et répondre automatiquement aux activités des bots sur vos applications mobiles, sites web et API en temps réel.

C’est la bonne solution pour éviter de montrer un CAPTCHA à vos utilisateurs et clients tout en analysant des signaux de détection complexes à la périphérie, et en ne présentant un CAPTCHA que lorsque d’autres signaux indiquent une activité de bot possible.

  • Les bots d’aujourd’hui deviennent plus avancés car les opérateurs de bots investissent dans les dernières technologies d’IA pour masquer leur identité. Détecter la présence de bots sophistiqués et adaptatifs peut être très difficile.
  • Il y a des bots « gentils » et bénéfiques que vous ne voulez pas accidentellement bloquer. Par exemple, vous pouvez vouloir permettre à Googlebot d’indexer votre site, car le bloquer l’empêcherait d’être classé par le moteur de recherche.

Une solution idéale de gestion de bots vous permettra de personnaliser les réponses et d’échelonner les nouvelles informations en utilisant l’IA et la technologie d’apprentissage automatique (machine learning, ML).

DataDome-captcha

4. Plugins de lutte contre le spam pour WordPress

Si votre site est hébergé par WordPress, il existe des plugins anti-spam et anti-bots comme Akismet qui peuvent être fiables pour bloquer le spam. En fait, la version personnelle d’Akismet est installée par défaut sur tous les sites WordPress.

Akismet ne nécessite aucune interaction humaine pour vérifier l’identité de l’utilisateur. Il fonctionne automatiquement (en arrière-plan) pour détecter la présence de bots de spam et atténuer leur activité.

Un autre plugin WordPress que nous recommandons est CleanTalk, qui fonctionne de manière assez similaire à Akismet, ne nécessite aucune interaction avec l’utilisateur et fonctionne automatiquement en arrière-plan.

5. Securimage

Securimage est un script PHP open-source qui est en fait l’un des CAPTCHA les plus anciens qui existe. Il est toujours considéré comme très efficace et peut générer des challenges suffisamment complexes pour déjouer les bots sophistiqués d’aujourd’hui. Securimage affiche des challenges très robustes en déformant le texte ou en présentant des équations mathématiques simples qui sont la bête noire de nombreux bots.

Le désavantage de Securimage est qu’il fonctionne uniquement dans les environnements PHP.

Conclusion

Les CAPTCHA traditionnels deviennent rapidement obsolètes face aux bots persistants et sophistiqués d’aujourd’hui. Mais l’intégration appropriée d’un CAPTCHA idéal dans votre protection contre les bots vaut la peine d’être envisagée. Les honeypots anti-spam et la détection par mesure du temps peuvent également être utiles, mais ne pourront pas attraper toute la gamme de bots sophistiqués que nous voyons aujourd’hui.

Pour prévenir le spam et d’autres menaces de cybersécurité induites par les bots, investissez dans une solution complète de gestion de bots qui protège tout votre écosystème en ligne — chaque point de terminaison à travers vos applications mobiles, sites web et API.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés