Plugin Altcha WordPress : changement de licence et retrait de WordPress.org

En avril 2025, nous avons publié un comparatif de deux solutions captcha open source, ALTCHA et Mosparo, retenues pour leur respect du RGPD, leur accessibilité et leur auto-hébergement. ALTCHA était la seule solution captcha open source à proposer un véritable mécanisme de preuve de travail (PoW) couplé à un plugin WordPress prêt à l'emploi. Pour nos clients associatifs et institutionnels, c'était une réponse pragmatique aux exigences RGPD strictes sans dégrader l'expérience utilisateur des formulaires.

Fin mai 2026, le plugin WordPress ALTCHA en licence GPL a été retiré de WordPress.org, son dépôt GitHub supprimé, et l'éditeur a officiellement repositionné ALTCHA en plateforme SaaS. Le plugin WordPress devient payant et des données transitent vers des serveurs tiers. L'intérêt de la solution pour nos cas d'usage s'en trouve fortement réduit.

Chronologie

• 14 décembre 2025 : dernière release officielle de la v1, version 1.26.3, corrigeant la CVE-2025-68113 sur des attaques par rejeu

• Mars-mai 2026 : développement actif d'une branche v2 puis v3 propriétaire dans un dépôt séparé (altcha-org/altcha-wordpress-next), avec modèle freemium (99 €/an/site pour le plan Professional, 999 €/an/50 sites pour Agency)

• 25 mai 2026 : retrait définitif du plugin de WordPress.org par l'éditeur. La page officielle affiche désormais « This plugin has been closed as of May 25, 2026 and is not available for download. This closure is permanent »

• Fin mai 2026 : suppression du dépôt GitHub altcha-org/wordpress-plugin. Les URL directes retournent des erreurs 404, le dépôt n'apparaît plus dans la liste publique de l'organisation altcha-org

• Juin 2026 : l'éditeur reformule officiellement son positionnement dans sa propre documentation : « ALTCHA is a SaaS platform providing Captcha alternatives and AntiSpam protection », là où le discours historique mettait en avant « free, open-source, self-hosted »

Mais qu'est-ce qui rendait ALTCHA singulier dans l'écosystème WordPress ?

Trois caractéristiques cumulatives faisaient sa valeur :

• Un mécanisme de preuve de travail (proof-of-work) qui imposait au navigateur du visiteur un calcul cryptographique invisible mais coûteux pour les bots, sans aucun défi cognitif pour l'utilisateur

• Un fonctionnement 100 % auto-hébergé en mode self-hosted (mode par défaut), sans aucun appel réseau externe, sans cookie, sans fingerprinting, sans tracking

• Un plugin WordPress officiel sous licence GPLv2, intégré nativement aux principales extensions de formulaires (Contact Form 7, Gravity Forms, WPForms, Elementor Pro, WooCommerce, etc.)

Cette combinaison était unique dans le paysage WordPress. À notre connaissance, aucune autre solution PoW open source ne disposait d'un plugin WordPress officiel équivalent : Cap et mCaptcha restent à ce jour sans intégration WP native, Friendly Captcha Lite est en maintenance minimale depuis février 2024. Mosparo, que nous continuons à recommander pour de nombreux contextes, repose sur une philosophie différente (filtrage de contenu par règles, sans PoW) et reste complémentaire plutôt qu'équivalent.

Cartographie de l'écosystème ALTCHA après le retrait

Il est important de noter que tout l'écosystème ALTCHA n'a pas disparu. Seule la couche d'intégration WordPress prête-à-l'emploi a été verrouillée. Les briques de bas niveau restent disponibles sous licences permissives :

Le schéma qui se dessine est ce qu'on appelle un open core : noyau ouvert (widget et bibliothèques techniques), périphérie propriétaire (intégrations prêtes à l'emploi, dashboard, services managés). C'est une stratégie commerciale assumée, mais qui pose un vrai problème de continuité pour nos clients associatifs dont les sites WordPress s'appuyaient sur le plugin v1.

Les options pour les administrateurs concernés

Pour les sites qui utilisent actuellement ALTCHA v1, trois solutions :

Conserver la v1.26.3 telle quelle. Sur les sites déjà équipés, le plugin continue de fonctionner mais c'est temporaire. Le mode self-hosted ne fait aucun appel à l'éditeur, donc la suppression du dépôt n'a pas d'impact technique immédiat. Cette option reste tenable à court terme, mais sans patch de sécurité futur ni support, elle constitue une dette technique qui croît avec le temps.

Migrer vers Mosparo. C'est l'option la plus pérenne sur le plan structurel : licence MIT, association suisse à but non lucratif, plugin WordPress officiellement maintenu, dernière mise à jour de février 2026. Nous continuons à recommander Mosparo pour de nombreux projets neufs. Sa limite, dans le contexte d'une bascule depuis ALTCHA, est qu'il repose sur un filtre de contenu et non sur un PoW. Il est donc plus lourd à mettre en place. Pour les formulaires les plus exposés, une combinaison Mosparo + brique PoW reste l'idéal.

Développer un plugin reposant sur les briques techniques officielles d'ALTCHA en licence MIT. Les briques de bas niveau d'ALTCHA restent quant à elles ouvertes et activement maintenues sous licence MIT : la bibliothèque PHP altcha-lib-php côté serveur, et le widget altcha côté frontend. Il est donc possible de reconstruire un plugin WordPress autonome en assemblant ces deux briques officielles, sans dépendre du code retiré. Ainsi on bénéficie des améliorations futures du widget (algorithmes Argon2 et Scrypt désormais disponibles en plus du SHA-256 historique). Cette approche suppose en revanche un effort de développement initial significatif pour reconstruire la couche d'intégration WordPress, ainsi qu'un engagement de maintenance sur la durée.

Le cas ALTCHA rappelle un risque structurel à intégrer dans toute stratégie reposant sur des briques open source d'éditeurs tiers : un éditeur peut, à tout moment, retirer sa version libre pour pousser un modèle commercial. La GPL ne peut pas l'en empêcher, mais elle garantit que la communauté conserve les moyens de continuer.

Si vous êtes concerné par cette situation et souhaitez en discuter, contactez-nous !