spam - web 2.0 - formulaire
Spam de sites web…
Attention: cet article date du 26 mars 2008
Ce qu'il contient est peut être encore valable...
... ou complètement obsolète!
On parle souvent du spam qui envahit nos boites aux lettres – 90% des mails reçus en seraient (variable selon les individus).
Les nouveaux terrains de chasse de nos amis ennemis spammeurs sont moins connus du grand public, mais de plus en plus des webmasters. Les plus anciennes méthodes sont les spams de formulaires web. Les services en ligne de type Web 2.0 ajoutant de nouvelles fonctionnalités en terme d'interactions, on voit donc apparaître autant de nouveaux terrains de jeux pour les méchants…
Splogs
Un splog est un faux blog, en fait un spam.
Le principe est simple : le spammeur crée un faux blog, qu'il alimente de billets issus d'ailleurs (via les flux RSS) et qu'il diffuse sur son site (accompagné de nombreuses publicités bien entendu). En clair, profiter du travail des autres pour augmenter son positionnement dans Google, et en tirer profit.
Certains estiment que la moitié des blogs en anglais seraient des splogs…
Spam des commentaires
Le rêve du bloggeur normalement constitué est d'avoir quelques commentaires par jour. Commentaires pertinents, cela va sans dire.
Dans le cas du spam, et le plus souvent de manière automatique, le vilain va ajouter des commentaires sur un blog, commentaires garnis de messages publicitaires et de liens vers des sites douteux.
J'ai testé pour vous sur ZonePingouin.org : le spam a entraîné la fermeture du forum il y a quelques années. Sur Atontour.com le harcellement des spameurs m'a contraint à désactiver les possibilités de commentaires quelques temps, et mettre en place des Captchas. Dans les deux cas, c'était des centaines de commentaires tous les jours…
A noter que tout formulaire sur le web peut subir ce genre de spam : demande de contact, forum, livre d'or, etc.
Nouvelles cibles : web 2
Bien sûr, tous les sites récents de type Web 2 sont désormais visés, selon les méthodes précédentes mais également selon d'autres plus spécifiques.
Très à la mode, les réseaux sociaux (facebook en tête) sont bien sûr abondament spamés. Premier principe simple, identique précédent : des commentaires ajoutés à votre profil. Il en va de même pour toutes les extensions, plugins et autres que vous pouvez greffer à votre profil et qui permettent aux internautes de réagir (et donc aux spammeurs). Selon une étude du HP Labs, 43% des messages dans facebook seraient du spam…
Autre principe, plus spécifique, le spammeur se crée un profil, avec liens vers ses sites douteux, et se présente à un maximum de gens, leur demandant de devenir votre ami. Forcément, vous allez voir sa présentation, donc sa pub…
On parle parfois de spambook, terme loin d'être officiel semble-t-il, voire de virus (terme trop générique je pense).
Tous les services en ligne sont donc visés, tels les calendriers (où vous annoncez vos évènements – le spammeur s'y insinue), partage de liens (liens vers le méchant), etc.
Moyen de lutter ?
Si vous identifiez le spameur, il est toujours possible de bannir son adresse IP. Cela marche un temps et uniquement pour lui, mais c'est toujours ça (c'est la première solution adoptée pour Atontour.com – réduisant le spam de 150 à 10 par jour).
Pour tout ce qui est commentaire d'internaute, une modération à priori permet de ne pas laisser passer les pourritures. Quitte à rendre le site moins interactif, et, en cas de spam, à avoir beaucoup de travail de censure (que l'on peut sans doute automatiser).
D'ailleurs, la modération est toujours bonne : le webmaster est responsable des propos tenus sur son site, même par ses visiteurs…
Côté réception du formulaire, on filtrera les données reçues, en PHP par exemple, pour supprimer ce qui ne convient pas : pas de Html, ni de Javascript, ni de données incohérente. Entendons par là qu'une zone qui attend des chiffres reçoive bien des chiffres, que des retours chariots impossibles ne soient pas reçus, qu'il n'y ait pas de directives d'envoie de mail, etc.
Mettre en place un captcha est une solution pour tout ce qui est formulaire (pour mémoire, c'est le code à taper que l'on trouve dans les formulaires – le plus souvent une image représentant des lettres déformées).
On peut ajouter des filtres sur des mots clefs (exclure le mot viagra par exemple permet de réduire considérablement les spams, mais laissera passer viiagra et autre viagraa…). Et empêchera de fait les vrais visiteurs de commenter des billets parlant du spam.
D'autres moyens de combats ?