Sécuriser son formulaire de contact : les bonnes pratiques pour éviter le spam

Chaque site web a besoin d’un moyen simple pour être contac­té. Mais dès qu’un for­mu­laire est en ligne, les pre­miers mes­sages indé­si­rables ne tardent pas à appa­raître. Ce flot de spams, sou­vent envoyés par des robots auto­ma­ti­sés, peut vite deve­nir un casse-tête. 

Dans la majo­ri­té des cas, ces envois ne sont pas liés à votre héber­geur ni à un dys­fonc­tion­ne­ment de votre mes­sa­ge­rie. Ils pro­viennent tout sim­ple­ment de votre for­mu­laire de contact, exploi­té par des scripts qui rem­plissent les champs auto­ma­ti­que­ment. Heu­reu­se­ment, il existe des méthodes simples et gra­tuites pour blo­quer ces envois intempestifs. 

Dans cet article, nous ver­rons com­ment sécu­ri­ser effi­ca­ce­ment son for­mu­laire de contact à l’aide de pro­tec­tions dis­crètes et effi­caces : honey­pot, capt­cha et exten­sion antispam.

1. Pourquoi votre formulaire attire les robots

Dès qu’un for­mu­laire de contact est mis en ligne, il devient visible non seule­ment pour vos visi­teurs… mais aus­si pour les robots qui explorent le Web en conti­nu. Ces scripts sont conçus pour détec­ter auto­ma­ti­que­ment les champs « nom », « e‑mail » ou « mes­sage », puis y injec­ter du conte­nu de manière répé­tée. Leur but varie :

• envoyer des liens vers des sites douteux ;
• tes­ter des adresses pour col­lec­ter des réponses ;
• ou sim­ple­ment véri­fier si le for­mu­laire est exploi­table à plus grande échelle.

Le pro­blème n’est donc pas votre héber­geur ni votre mes­sa­ge­rie, mais la faci­li­té d’accès du for­mu­laire.
Sans pro­tec­tion, il devient une cible idéale pour ces scripts.

Heu­reu­se­ment, il existe des garde-fous simples et gra­tuits qui bloquent la majo­ri­té de ces envois :
nous allons les pas­ser en revue, du plus dis­cret au plus complet.

2. Les principaux moyens de lutter contre le spam

Trois approches simples peuvent limi­ter effi­ca­ce­ment les spams d’un formulaire :

• Le honey­pot
  Un champ invi­sible que seuls les robots rem­plissent ; si ce champ contient une valeur, le mes­sage est bloqué.
  
• Le capt­cha
  Une véri­fi­ca­tion visible ou silen­cieuse pour confir­mer qu’il s’agit bien d’un humain (reCAPT­CHA, hCapt­cha, Turnstile).
  
• L’extension anti­spam
  Un filtre auto­ma­tique qui détecte les envois sus­pects selon leur conte­nu ou leur fré­quence ; par exemple WP Armour, Anti­spam Bee dans WordPress.

3. Le honeypot : une protection invisible

Le honey­pot, lit­té­ra­le­ment “pot de miel”, est une méthode aus­si simple qu’efficace pour pié­ger les robots spam­meurs. Elle consiste à ajou­ter un champ invi­sible dans le for­mu­laire. Invi­sible pour l’utilisateur humain, mais bien visible pour les robots. Lorsqu’un robot rem­plit auto­ma­ti­que­ment tous les champs, il com­plète aus­si celui-ci… et son mes­sage est rejeté.

C’est une pro­tec­tion à la fois silen­cieuse, rapide et tota­le­ment res­pec­tueuse du RGPD. Aucune clé API, aucun cookie, aucun ser­vice tiers : tout se fait côté site.

Sur WordPress

• WPForms et Fluent Forms activent le honey­pot par défaut dans les para­mètres du formulaire.
• Contact Form 7 : il suf­fit d’ajouter une exten­sion gra­tuite, par exemple CF7 Apps – [Honey­pot and hCAPT­CHA for Contact Form 7].
• Gra­vi­ty Forms : cochez l’option « Acti­ver le honey­pot » dans les réglages du formulaire.

4. Le captcha : vérifier que l’expéditeur est bien humain

Le capt­cha ajoute une étape de véri­fi­ca­tion avant l’envoi du for­mu­laire, pour s’assurer qu’il ne s’agit pas d’un robot. Il peut s’agir d’un simple clic, d’une image à recon­naître ou d’une véri­fi­ca­tion invi­sible effec­tuée en arrière-plan.

Les solutions gratuites les plus courantes

Toutes ces solu­tions néces­sitent la créa­tion d’un compte pour obte­nir une paire de clés (publique et secrète) ser­vant à vali­der les envois du for­mu­laire. Elles sont com­pa­tibles avec la plu­part des CMS et peuvent être inté­grées aus­si bien dans Word­Press que dans d’autres sys­tèmes de ges­tion de contenu.

reCAPTCHA (Google)

Outil de véri­fi­ca­tion pro­po­sé par Google, dis­po­nible en ver­sion visible (case à cocher) ou invi­sible.
→ Non conforme au RGPD : cer­taines don­nées de navi­ga­tion sont trans­mises à Google.
→ Inté­gra­tion un peu plus lourde et par­fois intru­sive pour l’utilisateur.

hCaptcha

Outil de véri­fi­ca­tion pro­po­sé par Intui­tion Machines, au fonc­tion­ne­ment simi­laire à reCAPT­CHA.
→ Conforme au RGPD : aucune don­née per­son­nelle col­lec­tée, pas de cookies, pas de sui­vi publi­ci­taire.
→ Peut deman­der plus sou­vent des vali­da­tions manuelles selon le niveau de sécu­ri­té configuré.

Cloudflare Turnstile

Outil de véri­fi­ca­tion pro­po­sé par Cloud­flare, conçu comme une alter­na­tive légère et invi­sible aux capt­chas tra­di­tion­nels.
→ Conforme au RGPD : aucune don­née per­son­nelle col­lec­tée, pas de cookies, pas de sui­vi publi­ci­taire.
→ Inté­gra­tion très simple : un script à insé­rer et une vali­da­tion côté ser­veur via les clés Cloudflare.

Le captcha par question logique

Une alter­na­tive simple consiste à poser une petite ques­tion de véri­fi­ca­tion, par exemple : « Com­bien font 3 + 4 ? » ou « Écri­vez le mot “bleu” ».

Ce type de capt­cha bloque la plu­part des robots sans dépendre d’un ser­vice externe.
Il suf­fit de véri­fier la réponse côté ser­veur et de varier les ques­tions pour évi­ter qu’un script ne les apprenne.

À rete­nir
Le capt­cha com­plète effi­ca­ce­ment le honey­pot : plus visible, mais redou­ta­ble­ment utile contre les envois auto­ma­ti­sés les plus persistants.

5. L’extension antispam : un filtre intelligent

Même avec un honey­pot et un capt­cha en place, cer­tains mes­sages peuvent encore pas­ser.
C’est là qu’interviennent les modules ou exten­sions anti­spam, capables d’analyser le conte­nu des for­mu­laires pour repé­rer les envois suspects.

Ces outils ne se contentent pas de véri­fier la pré­sence d’un robot : ils exa­minent les adresses IP, les mots-clés, les liens ou la fré­quence des envois pour déter­mi­ner si un mes­sage est légi­time.
La plu­part des CMS pro­posent ce type de pro­tec­tion, sous forme de module ou d’extension additionnelle.

Les exemples ci-des­sous concernent Word­Press, mais des solu­tions équi­va­lentes existent pour d’autres sys­tèmes de ges­tion de contenu.

Quelques références fiables (WordPress)

• WP Armour
  Com­bine une tech­nique de honey­pot avan­cée et une ana­lyse com­por­te­men­tale.
  L’extension bloque la majo­ri­té des robots sans inter­ro­ger de ser­vice externe, ce qui la rend conforme au RGPD.
• Anti­spam Bee
  Exten­sion open source très popu­laire, qui filtre les spams sans créer de compte ni envoyer de don­nées à des ser­veurs tiers.
  Elle ana­lyse le conte­nu, le pays d’origine ou encore la répé­ti­tion d’adresses IP, tout en res­tant tota­le­ment conforme au RGPD.
• Akis­met
  Solu­tion déve­lop­pée par Auto­mat­tic (édi­teur de Word​Press​.com).
  Très effi­cace, mais elle repose sur un envoi d’informations vers les ser­veurs d’Akismet pour com­pa­rer les mes­sages à une base de don­nées mon­diale.
  Cela la rend non conforme au RGPD en confi­gu­ra­tion par défaut, sauf à ano­ny­mi­ser les don­nées transmises.

Une exten­sion anti­spam vient donc com­plé­ter effi­ca­ce­ment le honey­pot et le capt­cha, pour offrir une pro­tec­tion com­plète contre les envois indésirables.

Note : ces outils ne se limitent pas aux for­mu­laires de contact : ils filtrent aus­si les spams dans les com­men­taires Word­Press, sou­vent uti­li­sés par les robots pour pos­ter des liens ou du texte pro­mo­tion­nel. Acti­ver un module anti­spam pro­tège ain­si l’ensemble des for­mu­laires du site, qu’il s’agisse de contact, d’inscription ou de commentaires.

Conclusion

Aucun sys­tème n’est infaillible, mais com­bi­ner plu­sieurs pro­tec­tions simples, honey­pot, capt­cha et exten­sion anti­spam, suf­fit à blo­quer la majo­ri­té des spams. L’objectif n’est pas de tout fil­trer à 100 %, mais de réduire le bruit pour gar­der un for­mu­laire de contact effi­cace et agréable à utiliser.