Sécurisez vos formulaires avec Google Recaptcha

Tout site internet comportant des formulaires est plus ou moins vulnérable : injection de code malveillant, envoi de spams...

Plus concrètement, un "formulaire" peut être présent dans un site sur une page Contact ou sur une page permettant de laisser un commentaire/avis (comme dans un blog par exemple). Ainsi, un formulaire permet au visiteur de poster du contenu "dynamique", c'est-à-dire du contenu qui va être enregistré/stocké dans la base de données du site.

Le formulaire : une fenêtre ouverte aux quatre vents !

Et c'est là que le bas blesse ! Là où le visiteur lambda de bonne foi va utiliser un formulaire pour ce à quoi il a été prévu, le hacker va exploiter le formulaire pour spammer la boite mail du site ou, pire, pour tenter d'injecter un code malicieux dans la base de données.

Attention ! N'imaginez pas le dit "hacker" tel un geek boutonneux qui cherche à pirater tous les sites qui lui tombent sous la main en s'enfilant des paquets de chips et des canettes de coca devant son écran.

Que nenni... la plupart du temps une attaque n'a même rien de personnel : personne ne vous en veut particulièrement, caché derrière son écran et ressassant tel un vengeur masqué "j'aurai ta peau mon salaud !". A vrai dire le hacker ne prend même pas la peine de visiter votre site : le terme le plus adapté serait plutôt "robot" ou "script". En somme, le robot-hacker crawle automatiquement un système ou CMS spécifique à la recherche de champs de formulaire qui lui permettront de s'immiscer frauduleusement dans le système.

GOOGLE RECAPTCHA : un pare-feu efficace

Sans être la panacée contre les attaques en tout genre, l'outil Google Recaptcha bloque les tentatives non-humaines d'envoi de formulaire. A cette fin, Google part d'un postulat à la fois extrêmement simple et redoutablement efficace : s'il y a bien une chose que les vilains petits robots ne savent pas (encore) faire, c'est se substituer à l'œil humain.

En effet, quelle que soit la complexité de son algorythme, un robot n'est rien d'autre qu'un programme informatique. En d'autres termes, le robot n'est pas en mesure d'interpréter un élément tel qu'une image qui n'est pour lui qu'un code "anonyme".

Je ne suis pas un robot : la validation par l'image...

Sélectionnez toutes les images comprenant des feux tricolores... cette phrase vous est sûrement familière, non ? Et pour cause: beaucoup de sites ont adopté ce système de validation auquel tout robot "normalement" constitué ne peut répondre car il ne "voit" pas les images et ne sait donc pas à quoi elles correspondent pour peu que leurs attributs/balises "alt" & "title" ne soient pas renseignés.

 

Vous exploitez un site web (sous Prestashop, Drupal ou tout autre système) et vous souhaitez sécuriser vos formulaires ?
Contactez-nous ICI ou appelez-nous au 07.70.45.20.06