dimanche 17 janvier 2010 par Bertrand Degoy
De très nombreux robots spammeurs tentent d’écrire des messages dans les forums attachés aux articles. Un site est d’autant plus exposé qu’il bénéficie d’un bon référencement sur les moteurs de recherche. Cet article explique comment se débarasser du spam.
Il ne me semble pas que le spam dans les forums puisse faire courir un risque de sécurité. Je pense que le but des spammeurs est de se faire de la publicité, ou plus simplement de faire monter le référencement de leurs sites grâce à une pluie de liens.
Les messages de spam dans les forums sont gênants dans la mesure où :
ils envahissent l’espace de dialogue et submergent les vrais messages ;
ils provoquent l’envoi de messages indésirables à travers les flux RSS ; submergé de spam, l’abonné risque d’effacer le flux RSS de son lecteur de news ;
et puis : cela ne fait pas très pro !
Je ne vais pas décrire ici ce qu’est le Captcha. Le Web en est plein.
J’ai amélioré le plugin captcha2 de SPIP pour que le cryptogramme à recopier soit quelque peu brouillé.
Cela a bien réduit le spam. Mais je dois avouer qu’un robot spameur, après quelques jours, est passé à travers comme si de rien n’était. Voilà confirmé ce que tout un chacun peut lire sur les forums : le Captcha, ce n’est pas la panacée.
J’avais déjà utilisé Bad Behavior sur mes plateformes de blogs fondées sur LifeType et j’en suis très satisfait : je n’ai jamais vu un spam sur les blogs qu’elles hébergent (septembre 2009 : je viens d’être attaqué en masse sur un de mes blogs ! il s’agit toujours du même spammeur que celui que je mentionne plus loin).
Bad Behavior comportait de nombreuses implémentations pour différents blogs ou CMS, mais pas pour SPIP. J’ai donc développé un plugin SPIP. Celui-ci est encore en version béta et en cours de test sur ce site. Déjà, j’ai pu constater qu’il bloquait des centaines de tentatives chaque jour. Voilà qui est prometteur.
Bad Behavior offre d’ailleurs des fonctionnalités dépassant l’anti-spam, en bloquant différents types de comportement douteux.
Premières observations :
en 48h, Bad Behavior a bloqué 3050 attaques sur bidiweb.com, dont 650 étaient des tentatives d’écriture dans les forums.
mais le 3° jour, le robot anonyme qui réussit à passer le Captcha réussit aussi à passer Bad Behavior !
Je pense que le problème avec Bad Behavior est que le code est publié. Les spammeurs peuvent donc facilement trouver le moyen de se conformer aux tests. Donc, j’ai rajouté des tests, compte tenu de ce que j’ai vu passer, mais je ne vais pas dire de quoi il s’agit pour des raisons évidente de sécurité !
Après 6 jours de fonctionnement, je constate que plus aucun spam ne passe. 2920 attaques sur les formulaires ont été bloquées.
Après quelques mois, il s’avère qu’il y a encore un spammeur qui passe, dont les textes sont illisibles, sans doutes codés avec un jeu de caractère asiatiques ?
Il y a donc encore du travail à faire !
Si Bad Behaviour s’avère suffisamment efficace, pourquoi utiliser le Captcha ?
Le Captcha, c’est beau, çà fait pro, çà apporte une illusion de protection (pour cette raison un client pourrait l’exiger pour le site qu’on lui développe), mais cela réduit l’accesibilité par les personnes ayant des problème de vue.
Sur ce sujet, voir : Inaccessibility of CAPTCHA
En somme : le Captcha peut encore faire illusion quelques temps, mais il va falloir très vite faire preuve d’une maîtrise supérieure de la question du spam.
Septembre 2009 : je ne peux toujours pas affirmer que j’ai réussi à bloquer le spam. Le Captcha fonctionne, Bad Behavior aussi (mais c’est surtout efficace pour empêcher les intrusions), mais j’ai complété les défenses avec le plugin No-Spam de Cédric Morin, que j’ai complété avec d’autres tests, et notamment une liste d’insanités interdites.
Je sais que le Captcha, c’est pas bien. Mais ni Bad behavior ni No-Spam ne suffisent à eux seuls. Les trois techniques sont complémentaires, et maintenant ... plus rien ne passe (au moins jusqu’au prochain bide !)
En résumé :
Utilisez le Captcha si vous n’avez pas de remords envers les mal-voyants ;
Bad Behavior, c’est plutôt contre les intrusions ; cela peut bloquer certains robots, mais ce n’est pas totalement efficace contre le spam ;
No-Spam c’est très bien fait mais il y a un seuil de tolérance, donc des trous dans la raquette.
Il faudrait compléter No-Spam avec :
une condition sur le délai de rédaction : on n’écrit pas un message en moins de 30 secondes, ce sont les robots qui font cela ;
une détection des insanités (j’ai fait un prototype) ;
une configuration des paramètres (facile avec CFG) ;
une détection de la cohérence des langues et des polices de caractères en fonction des langues du site (pour ne pas afficher des messages incompréhensibles, qui contiennent peut-être des insanités).
A suivre donc ...
Merci pour cet article instructif, Est-il possible que vous partagiez une version du plugin SPIP de bad behavior (pas votre version modifiée bien sûr). Ou, étant donné que Bad behavior est mis à jour régulièrement, pourriez vous nous guider un peu sur la façon de faire ?
Par ailleurs avez vous changé de stratégie ? Je vois un capcha lors du post de message ...
Merci encore
Collaborer sur le plugin pour SPIP ?
)Bonjour Lionel,
Merci de votre intérêt.
Je n’ai pas eu le temps de finaliser le plugin. Il fonctionne, mais il faudrait que je le documente proprement pour le diffuser sur les zones de SPIP. C’est vrai, il y un Capcha. Je ne l’ai pas ajouté : en réalité j’avais commencé par un Capcha et je ne l’ai pas retiré quand j’ai mis BadBehavior en service. J’ai des sites sans Capcha et avec Bad Behavior qui semblent aussi bien protégés.
Pour ce qui est des modifications, il n’y a pas grand secret. D’une part j’ai ajouté un système de black list pour me débarrasser d’un spammeur particulièrement habile. D’autre part, j’ai ajouté une règle portant sur les liens dans le corps des messages.
Mais j’ai encore un spammeur qui passe régulièrement avec des caractères bizarres, je n’ai pas encore eu le temps de m’y attaquer. Il faudrait créer une règle portant sur la cohérence des langues et des codages entre le site et les messages.
De plus, j’ai besoin de filtrer sur le contenu afin d’exercer la responsabilité de l’hébergeur et de l’éditeur. Par exemple pour éliminer les propos racistes, xénophobes ou même simplement grossiers.
Je suis tout à fait prêt à fournir mes sources, à condition d’une réelle collaboration, du respect mutuel des droits et dans la perspective d’un partage du résultat avec la communauté SPIP.
Cordialement, BD
Site réalisé avec SPIP 2.0.10 [14698] + BiDiWeb
RSS fr RSSSPIP : techniques et compléments ?
Copyright © 2007 Degoy net Consultants - Tous droits réservés
Degoy net Consultants - SARL au capital de 7500 € - SIRET : 502 478 365 00013 RCS Nanterre