Menu
Illustration Culture - Pix Associates Illustration 25 ans - Pix Associates Illustration Prestations - Pix Associates Illustration Portfolio - Pix Associates Illustration Blog - Pix Associates Illustration Livres Blancs - Pix Associates Illustration Contact - Pix Associates
Retour au blog

Alternatives ReCAPTCHA : bloquer les bots et respect des données personnelles

mai 2023
|
Partager
Alternatives ReCAPTCHA : bloquer les bots et respect des données personnelles
  • Advertising
  • Branding
  • Culture Pix
  • Digital

CAPTCHA est l’acronyme de Completely Automated Public Turing test to tell Computers and Humans Apart : il reprend le principe du test de Turing mais cette fois-ci en mettant une machine en tant qu’évaluateur. Les CAPTCHA : vous avez forcément déjà eu à répondre à un calcul simple ou recopier une suite de lettres peu lisibles afin d’accéder à une page ou envoyer un formulaire.

L’invasion des bots

Si les CAPTCHA ont vu le jour, ce n’est pas juste pour embêter les utilisateurs avec des tests peu accessibles et illisibles entraînant des taux d’échecs élevés même chez les humains.

Il est estimé que le trafic internet est quasiment divisé par deux entre les humains et les bots : 47,4% en 2022 selon Imperva, en hausse de 5% par rapport à l’année précédente. Une répartition qui fait froid dans le dos quand on sait que le trafic a augmenté de manière exponentielle, mais que la proportion de bot n’a fait que grandir. Ils sont des milliards à arpenter le web à la recherche de données personnelles, à pratiquer le bruteforce pour tenter de se connecter à vos comptes avec des milliers de tentatives erronées. Ils peuvent aussi provoquer des surcharges de serveurs via des attaques Denial of Service (DoS), pratiquer le scalping qui consiste à revendre des objets obtenus en promotion ou encore faire exploser des budgets publicitaires basés sur le pay-per-click en pratiquant la fraude au clic chez des concurrents. Si vous hébergez un site web, vous aurez également remarqué ces demandes de contact frauduleuses avec des liens douteux ou faisant la promotion d’activités plus ou moins légales. En plus d’être particulièrement insupportables et de noyer les demandes légitimes, saviez-vous que ces demandes, si elles vous sont envoyées par e-mail, peuvent ruiner la réputation d’un serveur d’envoi (enregistré par son IP sur des blacklists) et donc empêcher la délivrabilité de tous vos e-mails…

La menace de l’intelligence artificielle

Si les bots ont évolué en nombre, ils ont aussi augmenté en qualité, notamment avec l’intelligence artificielle. En effet, auparavant un bot était programmé pour réaliser une action, en espérant qu’elle marche sur le plus grand nombre de sites. Mais désormais, un bot peut s’adapter et réagir aux particularités de chaque site web, notamment afin de contourner les moyens anti-spam mis en place… Pire encore, ces bots dits « avancés » sont désormais grandement majoritaires : 66% contre 33% de bots simples, toujours selon Imperva.

Gardez donc à l’esprit qu’il n’y a pas de solution efficace à 100% contre les bots, et que ce problème ne peut que s’empirer dans les années à venir. Il est donc inconcevable de ne pas se protéger un minimum en 2024.

La conformité RGPD

Force est de constater que les captcha les plus populaires : notamment l’immense reCAPTCHA de Google ou encore hCaptcha ne sont pas conformes au RGPD : ils récoltent des données personnelles qui sont traitées en dehors de l’UE et nécessitent un consentement de la part de l’utilisateur avant d’être utilisés, dans le cadre du Data Privacy Framework. Il reste donc à implémenter un système où la fonctionnalité de formulaire serait bloquée jusqu’à acceptation du consentement, à la charge de l’éditeur du site. C’est à la fois contre-productif et facilement contournable par les bots, à moins de sécuriser ce blocage du côté back-end. Sachez néanmoins que cela reste possible et que la CNIL a confirmé la conformité de ce procédé. Une solution que nous mettons en place à l’agence pour des questions de réactivité et d’optimisation budgétaire pour nos clients, en attendant de nouvelles solutions performantes et accessibles.

Les meilleurs CAPTCHA en 2024

Akismet

Akismet est un service qui utilise des algorithmes pour bloquer les spams. Il est particulièrement populaire parmi les utilisateurs de WordPress sur les fonctionnalités de commentaires, parce qu’il est édité et mis en avant par la société Automattic (maison mère de WordPress).

Prix : de 9,95€ pour un site à 47,95€ pour un nombre de sites illimités.

Les +

  • Gratuit pour les sites non commerciaux et les blogs
  • Librairie JavaScript pour les autres intégrations
  • Intégration facile sur WordPress grâce à un plugin qui fonctionne avec les plugins de formulaire tels que Contact Form 7 et Give WP

Les –

  • Son prix n’est avantageux que pour les agences ou entreprises avec un grand nombre de sites à protéger
  • Transfert de données en dehors de l’Union Européenne mais dans le cadre d’une Clause Contractuelle Type (CTT) qui est reconnue par le RGPD

Live Identity (Orange)

Orange Business met à disposition son offre Live Identity avec pour but de sécuriser les services en ligne. Parmi ces solutions : un CAPTCHA qui permet de générer des tests classiques soit textuels (chiffres ou lettres déformés) ou audio (pour les malvoyants).

Prix : à partir de 157€ par mois, devis personnalisé

Les +

  • Solution française
  • Conformité RGPD et CNIL
  • Choix de l’hébergement : SaaS ou On-Premise

Les –

  • Offre soumise à la signature d’un contrat Orange Business
  • Prix élevé
  • Aucune information au niveau de l’intégration

Captcha.eu

Parmi les solutions européennes, cette entreprise autrichienne réussit à tirer son épingle du jeu en misant tout sur le RGPD. Elle indique clairement en quoi la solution est conforme, notamment par l’utilisation du localStorage en remplacement des cookies, l’anonymisation des données, et le stockage d’adresses IP partielles.

L’entreprise est par contre assez récente et nous trouvons peu de retour qui témoigneraient de la qualité du test.

Prix: de 8,90€ par mois pour 1 site, à 179€ par mois pour 10 sites

Les +

  • Solution européenne
  • Sans cookies et sans recueil de données personnelles
  • Conformité RGPD
  • Intégration WordPress à jour

Les –

  • Nombre de requêtes limitées : que se passe-t-il au delà la limite qui ne dépend que des assauts irréguliers des bots ?
  • Prix élevé pour la gestion de plusieurs sites

Friendly Captcha

Friendly Captcha est une entreprise européenne (Allemagne) lancée par Interlink qui place la confidentialité au centre de son offre. Utilisée par de grandes entreprises, c’est une offre qualitative mais réservée aux plus grosses entreprises où une offre personnalisée saura être plus avantageuse que les abonnements par défaut.

Il met en avant ses nombreux avantages par rapport aux autres tests, notamment sur des aspects d’accessibilité, de bande passante et de l’expérience utilisateur.

Prix : 200€ par mois pour 50 sites

Les +

  • Conformité RGPD
  • Pas de cookies ni de recueil de données personnelles
  • Datacenters européens pour l’offre avancée
  • Intégration WordPress

Les –

  • Les offres inférieures ne sont pas RGPD
  • Prix très élevé

MTCaptcha

MTCaptcha est une solution conventionnelle avec un test textuel ou audio. Bien que vieillissante, elle a l’avantage de proposer de nombreuses améliorations par rapport à son concurrent reCAPTCHA. En 2023, ce type de solution est déjà la cible de nombreux programmes et sont donc moins efficaces.

Prix: Gratuit pour 1 domaine, 250$ par mois pour l’offre agence (7 domaines uniquement)

Les +

  • Conformité RGPD annoncée par MTCaptcha mais floue autour des adresses IP recueillies et des cookies utilisés

Les –

  • Seule l’offre gratuite est avantageuse mais elle impose de créer un compte par site
  • Intégration WordPress mais le plugin n’est pas du tout mis à jour et peu utilisé

Solutions anti-spams sans CAPTCHA

Un CAPTCHA est une solution anti-spam, mais un anti-spam n’est pas forcément un CAPTCHA. Les solutions anti-spams qui suivent peuvent être combinées avec un test pour une sécurité plus renforcée. Elles utilisent des technologies diverses qui permettent d’identifier des comportements robotiques et donc d’empêcher les demandes indésirables en amont.

Turnstile Cloudflare

Cloudflare est une entreprise américaine spécialisée dans les solutions autour de la sécurité et la performance des sites. Elle est notamment connue pour son réseau de distribution de contenu (CDN), sa protection contre les attaques DDoS notamment ainsi que ses services de DNS ayant pour but d’améliorer la vitesse et la fiabilité de résolution des noms de domaine. Avec Turnstile, elle propose une alternative aux CAPTCHA en éliminant automatiquement la menaces de robots de façon invisible pour l’utilisateur.

Prix : Gratuit jusqu’à 10 widgets et noms de domaines, illimité pour les entreprises sur devis

Les +

  • Entreprise renommée et reconnue dans ce domaine
  • Offre gratuite

Les –

  • Pas d’intégration officielle par Cloudflare mais plugins non officiels pour WordPress par exemple.
  • Cloudflare n’est pas entièrement conforme au RGPD : il peut recueillir des adresses IP pendant quelques semaines

OOPSpam

OOPSpam a une approche différente puisqu’il s’agit d’une solution à la base open-source qui a ensuite été rachetée puis commercialisée. Elle se bat contre les pratiques de ses concurrents qui cachent derrière leurs faibles prix des pratiques non-RPGD avec revente des données.

Prix : 17$ par mois pour le Starter plan (sur demande) pour 1 domaine, 49$ par mois pour 15 domaines, 79$ par mois pour 50 domaines

Les +

  • Intégration WP officielle grâce au plugin (Elementor, Contact Form 7) et sur tous types de formulaire : contact, login…
  • RGPD : pas de recueil de données
  • Nombre de requêtes limité évoluant selon l’abonnement : de 15 000 à 300 000.

Les –

  • Prix conséquent pour une offre individuelle mais plus avantageuse dans le cas d’une agence.

Firewall

Une autre solution pour lutter contre le spam est de mettre en place un pare-feu (firewall) ayant pour fonction de créer une barrière pour surveiller et contrôler le trafic entrant.

Son installation se fait sur la zone DNS, le trafic de tout le site est ensuite filtré. Il permet donc d’éliminer les bots dès le début et donc d’empêcher les spams de formulaire, ainsi que de nombreuses autres optimisations de sécurité. En contrepartie, l’accès au site peut être ralenti pour l’utilisateur final.

Cloudflare

Prix : 20$ par mois

Les +

  • Entreprise reconnue dans la cybersécurité
  • Offre très complète
  • Pas entièrement RGPD

Les –

  • Prix conséquent, il ne s’agit pas du même budget que pour un simple CAPTCHA

Sucuri Firewall

Dans la même idée que le firewall Cloudflare, Sucuri, entreprise spécialisée dans les solutions de cybersécurité, propose son Web Application Firewall (WAF) avec les mêmes fonctionnalités : contrôle du trafic, CDN, protection contre les attaques DDoS…

Web Application Firewall (WAF) Protection & Security | Sucuri

  • $9.99 / mois pour 1 site

Les +

  • Coût réduit par rapport à Cloudflare

Les –

  • Peu d’informations relatives au RGPD, nous ne pouvons déterminer sa conformité
  • Multi-site sur devis uniquement

Anti-spam au niveau du serveur mail

Une dernière solution serait d’installer un anti-spam au niveau du serveur mail : la différence est que le tri sera effectué beaucoup plus tard dans le processus. Ce n’est pas forcément avantageux dans le cas d’un SMTP de site puisque la demande sera quand même envoyée puis éliminée par le logiciel. Le destinataire final sera par contre épargné de toutes les demandes indésirables, y compris celles qui transitent en dehors du site. C’est une solution à envisager pour un gain de temps, mais aussi pour maintenir la réputation du serveur.

Par exemple, Protect par MailinBlack ou encore MailCleaner sont des logiciels à installer sur le serveur afin de filter les e-mails. Leurs prix sont uniquement disponibles sur devis car il s’agit d’un investissement plus important et à plus grande échelle : le but étant de faire profiter tous les collaborateurs d’une entreprise.

Anatomie d'une URL Git et le versioning

Vous allez aussi aimer

Un projet ? Contactez-nous !
Contactez-nous ! Un projet ?

A propos de nous

Agence de conseil et création en communication et marketing basée à Nice et Paris, notre approche unique allie stratégie, design et technologie pour façonner des plateformes e-commerce, expériences de marque, applications mobiles et autres projet digital ou print sur-mesure.

Depuis 20 ans, nous mobilisons nos savoir-faire au service de nos clients pour concevoir des solutions esthétiques et performantes.

Contact

NICE

16, avenue Fragonard
06100 NICE
04 93 87 03 19

PARIS

6, rue des Quatre Vents
75006 PARIS
01 42 33 58 83

Layer 1 Voir Voir
Pix Associates - Logo blanc

Pour une expérience optimale, veuillez utiliser votre mobile ou tablette en mode portrait.