Pendant longtemps, j’ai utilisé Google reCAPTCHA sur les formulaires de contact ou de réservations des sites Internet de mes clients. Mais en début d’année 2026, Google a décidé de transférer son outil antispam sur Google Cloud. Cette évolution technique s’accompagne d’un changement de politique tarifaire. Auparavant gratuite, l’utilisation de cette solution antispam est désormais payante au-delà d’un certain seuil de vérifications offertes. Et ce seuil est rapidement atteint quand on dispose de plusieurs sites Internet, même peu fréquentés.
Migration technique obligatoire de la solution antispam
Les outils de Google sont formidablement variés et performants, mais je trouve leur utilisation tellement compliquée. Google Analytics, par exemple, propose des milliers d’options que je n’ai même jamais pris le temps d’explorer tant elles sont loin de mes préoccupations. Je n’ai aucun doute sur le fait que certaines agences doivent exploiter le plein potentiel de ce genre d’outil. Mais ma clientèle n’est pas dans la cible. J’aurais apprécié des versions simplifiées, mais c’est l’inverse qui se produit avec le temps.
Renseigner une carte bancaire pour utiliser Google Cloud
Quand un formulaire est pris pour cible par un bot spammeur, on peut s’attendre à un trafic qui augmente fortement, dans des proportions totalement incontrôlables. Le nombre de vérifications explose et la facture avec. Pour de nombreux clients, il n’est pas envisageable de passer sur une version payante de reCAPTCHA.
Je crois qu’il existe une autorisation explicite pour passer sur le forfait payant de vérifications antispam, mais Google impose, pour la migration de reCAPTCHA, de saisir une carte bancaire dans votre compte Google Cloud. Je n’apprécie pas du tout.
Il est tellement banalisé de distribuer à tout-va ses coordonnées bancaires que ça n’inquiète plus personne. Pourtant, les plus grands sites au monde sont piratés. Nos coordonnées bancaires ne sont même pas en sécurité dans le fichier national des comptes bancaires (FICOBA). Fin janvier 2026, des accès illégitimes à ce fichier ont été détectés, avec une consultation d’informations confidentielles de plus de 1,2 million de comptes.
WordPress est une forteresse franchissable
J’ai quelques sites WordPress, notamment pour moi-même, mais la plus grande majorité des sites de mes clients sont développés sur la base de mon propre framework PHP, très simple, créé et amélioré au fil du temps. Ce sont majoritairement des sites vitrine.
WordPress est un outil formidable, mais vraiment lourd, gourmand en ressources et peu sécurisé. Sans parler des constantes mises à jour du noyau, des thèmes et des extensions. C’est à mon sens trop de travail pour des sites modestes qui n’ont pas besoin d’être administrés directement par leurs utilisateurs.
En plus d’être composé de milliers, voire de dizaines de milliers de fichiers lorsqu’on utilise des extensions, le code source est public et communautaire. Cela signifie que tout le monde peut participer à son développement, ce qui est une remarquable opportunité de créer des outils complets. Mais cet avantage, comme bien souvent, est aussi le principal inconvénient. N’importe quel pirate peut analyser le code source et exploiter des failles de sécurité pour prendre la main sur votre site, si on ne prend pas garde de bien faire les mises à jour et d’ajouter toutes les fonctions et modifications de sécurité nécessaires.
A contrario, les sites que je développe pour mes clients contiennent quelques dizaines à quelques centaines de fichiers seulement. Par ailleurs, le code source est totalement privé, secret même, pourrait-on dire, ce qui signifie que les pirates ne connaissent pas du tout les failles qu’il pourrait éventuellement contenir.
Faisons une comparaison simple. WordPress est une usine gigantesque qui dispose de très nombreuses portes, plus ou moins résistantes. Certaines sont blindées et infranchissables, d’autres sont solides mais perfectibles, d’autres enfin sont en bois très fin avec une serrure basique. Facile à défoncer ou à crocheter.
Mes sites web sont comme la cité de Khazad-dûm dans les mines de La Moria. Pour qui ne sait pas entrer, les portes de Durin sont invisibles et elles ne s’ouvrent que pour ceux qui connaissent le mot de passe. Cette référence au Seigneur des Anneaux peut paraitre présomptueuse et vous aurez raison de le penser, mais j’aime assez la comparaison. Et, en bon geek, il faut parfois s’attendre à n’être compris que d’un cercle restreint de personnes aussi étranges que soi.
Pour résumer, les pirates vont souvent où ils savent qu’ils peuvent avoir des résultats. Je ne parle pas des aventuriers qui tentent de pénétrer dans des systèmes de grandes entreprises et d’états. Garder le mystère sur mon code est sans doute l’une des meilleures protections dont je puisse bénéficier.
J’ai développé ma propre solution antispam
Souhaitant me rendre aussi indépendant que possible d’outils tiers et à fortiori de ceux de Google, j’ai développé il y a quelques années ma propre solution antispam pour les formulaires. Je piège les spammeurs avec plusieurs tests et barrières invisibles dont je ne dévoilerai rien, bien entendu, pour ne pas leur donner l’opportunité de défier le code et de trouver d’éventuelles parades.
Quoi qu’il en soit, je suis en train, depuis quelques jours, de supprimer reCAPTCHA de tous mes sites web, pour intégrer ma propre solution antispam à la place. Je n’ai pas la prétention de faire aussi bien que Google, mais je constate que cet outil possède une grande efficacité, toujours à l’heure actuelle.
Pour certains, Google est le diable
Ne considérez pas que je déteste Google. J’utilise de nombreux outils de cette société, mais j’estime qu’il faut utiliser l’outil le mieux adapté lorsque c’est possible. Et conserver une certaine souveraineté sur son propre travail, bien que le mot paraisse disproportionné. Mais vous comprenez l’idée.
