Antispam et formulaires web : quelle solution pour quelle organisation ?
Le choix d'une solution antispam pour les formulaires web est devenu un casse-tête pour les organisations soucieuses des données personnelles de leurs utilisateurs, qui disposent d'une puissance de développement limitée et d'un budget à préserver. Si en plus elles cherchent à protéger un public parfois vulnérable (jeunes, personnes en situation de handicap, seniors) contre des tentatives humaines malveillantes via leurs formulaires de contact, l'arbitrage devient encore plus difficile.
Cette question m'a été posée à plusieurs reprises ces dernières semaines par les organisations que j'accompagne en tant que consultant web AMO. Après une étude détaillée de cinq solutions du marché et de leurs déclinaisons techniques, voici trois recommandations qui répondent à trois besoins et trois typologies d'organisations différentes. Ces analyses s'inscrivent dans la continuité de mon étude initiale sur les solutions de captcha open source et tiennent compte du récent retrait du plugin ALTCHA pour WordPress de WordPress.org en mai 2026.
Les solutions évaluées
Mon étude comparative s'est appuyée sur six critères : efficacité contre les bots simples, détection de contenu malveillant rédigé par des humains, complexité de mise en place, complexité de maintenance, compatibilité RGPD et coût des licences.
Solution | Déclinaisons étudiées |
|---|---|
Plugin WordPress (mode Standard, Sentinel SaaS, Sentinel auto-hébergée), module Drupal (mode standard, Sentinel auto-hébergée), produit serveur Sentinel auto-hébergée | |
Solution auto-hébergée avec plugins WordPress et Drupal | |
Friendly Captcha Cloud (SaaS) | |
Versions gratuite, Pro et Enterprise | |
Solution Google Cloud |
Aucune solution n'est universellement supérieure aux autres. Le contexte de l'organisation fait toute la différence.
Cas 1 — Une importante fédération d’associations du domaine de la solidarité
Une fédération nationale gère plus de 1 600 sites WordPress déployés à partir d'un socle commun, chacun avec au moins un formulaire de contact et un formulaire de bénévolat. L'organisation est très attachée au RGPD, dispose de moyens humains limités pour suivre les développements. Elle a besoin d'une solution déployable rapidement à grande échelle et stable dans le temps. La détection de contenu malveillant n'est pas une priorité opérationnelle mais peut être utile.
Premier choix : Friendly Captcha Cloud
L'éditeur est basé en Allemagne (UE), ce qui élimine le problème de transfert hors UE qui pénalise les solutions américaines. Pas d'instance à déployer, intégration WordPress homogène à l'échelle du parc, conformité RGPD raisonnable. La rapidité de mise en place et le coût très inférieur au coût de déploiement et de maintenance d'une infrastructure auto-hébergée équivalente en font une solution à privilégier.
Second choix : ALTCHA pour WordPress en mode Sentinel auto-hébergée
Meilleur sur le plan RGPD puisque l'instance Sentinel reste sur l'infrastructure du client, sans aucun transfert vers un serveur tiers et apporte la détection de phishing (c'est un plus). En contrepartie, le coût est nettement plus élevé (à partir de 99 €/mois pour le plan Sentinel Professional en plus de la licence WordPress) et la mise en place nécessite une infrastructure de conteneurisation, ce qui suppose d’y consacrer des moyens techniques sur le long terme.
Cas 2 — Une organisation internationale avec site Drupal et un public vulnérable
Une organisation internationale opère un site Drupal qui héberge un système de petites annonces destiné à de jeunes utilisateurs, dont certains potentiellement mineurs. Les formulaires sont régulièrement la cible de tentatives humaines malveillantes. L'organisation cumule donc une exigence stricte de conformité RGPD et un besoin avéré de détection de contenu rédigé par des humains réels.
Premier choix : ALTCHA pour Drupal en mode Sentinel auto-hébergée
Le module ALTCHA pour Drupal est distribué sous licence GPLv2 sur drupal.org, couvert par le Drupal Security Team. Couplé à une instance ALTCHA Sentinel déployée chez le client, il offre les fonctionnalités de détection de phishing et de modération de chat et forum nécessaires à la protection d'un public sensible. Sentinel étant auto-hébergée, toutes les données restent dans le périmètre de l'organisation.
Second choix : ALTCHA pour Drupal en mode Sentinel SaaS, complété par Mosparo dans un deuxième temps
Cette approche en deux étapes est intéressante pour étaler l'investissement. Dans un premier temps, le mode Sentinel SaaS d'ALTCHA permet de bénéficier immédiatement de la détection de contenu, au prix d'un transfert de données chez l'éditeur (à arbitrer dans le cadre d'une analyse d'impact RGPD). Dans un deuxième temps, le déploiement d'une instance Mosparo en complément offre un filtre de contenu auditable et configurable très finement, particulièrement adapté à la détection de patterns spécifiques (sollicitations inappropriées envers des mineurs, demandes de contact hors plateforme, etc.). Le coût global sur la durée est plus intéressant qu'une licence Sentinel auto-hébergée perpétuelle, et la maîtrise des règles de filtrage est totale.
Cas 3 — Une fédération d'associations avec site WordPress simple
Une fédération régionale exploite un seul site WordPress vitrine, avec une dizaine de formulaires de contact relativement peu exposés. L'équipe est attachée au RGPD mais dispose de moyens financiers limités et de peu de compétence technique interne. Le public utilisant les formulaires n'est pas particulièrement vulnérable.
Premier choix : ALTCHA pour WordPress en mode Standard
Le plugin officiel fonctionne en mode Standard sans dépendance externe, avec une version Free largement suffisante pour des formulaires de contact peu exposés. La protection anti-bot par proof-of-work est efficace, la mise en place est triviale et le coût est nul ou très limité.
Cette solution présente toutefois des limites pour un audit RGPD rigoureux : le code du plugin est partiellement minifié et l'EULA propriétaire interdit la rétro-ingénierie, ce qui empêche un audit complet de son comportement réseau. Pour les organisations qui placent l'auditabilité au cœur de leurs exigences, je développe actuellement une alternative reposant sur les briques techniques officielles d'ALTCHA distribuées sous licence MIT (d'ailleurs, nous avons une solution de dépannage pour WordPress que nous mettons à disposition de nos clients en attendant qu'elle soit publiée plus largement, dans le cadre de nos prestations de développement WordPress sur mesure).
Vous souhaitez aller plus loin ?
Ces trois cas illustrent une réalité que je constate régulièrement : il n'y a pas de solution antispam universelle, et le bon choix dépend du contexte de l'organisation, de sa taille, de son CMS, de sa maturité technique, de son budget, du caractère vulnérable ou non de son public et de son niveau d'exigence RGPD.
Votre organisation doit répondre à des problématiques techniques complexes ? Demandez mes conseils en tant que consultant web AMO. J'accompagne associations, fédérations, institutions et PME dans le choix et la mise en œuvre de solutions techniques alignées avec leurs contraintes RGPD, budgétaires et opérationnelles.
Vous souhaitez échanger sur l'étude complète sur les solutions antispam pour vos formulaires web ? Contactez-moi, j'ai comparé chaque solution sur les six critères évalués, avec sources et chiffrages.
Pour aller plus loin sur la protection des formulaires web :
Crédit photo : Renaud Bessieres
Dernières publications
Les dernières publications de nos consultants AMO experts web
