brain_protect
Protection contre le SPAM de formulaires pour TYPO3
brain_protect stoppe immédiatement et efficacement le spam de formulaires
brain_protect agit immédiatement après son installation : tous les formulaires en ligne* sont immédiatement et efficacement protégés.
- ✅ Aucune configuration nécessaire, aucune adaptation des formulaires existants.
- ✅ Aucun captcha ou autre obstacle pour les visiteurs de vos formulaires en ligne.
- ✅ Aucune tâche supplémentaire pour la rédaction web.
- ✅99,2% d'efficacité testée.
- ✅ 100% conforme au RGPD.
- ✅ 100% accessible aux personnes handicapées.
- ✅ Indépendant d'outils externes tels que Google reCAPTCHA ou Friendly Captcha.
Pourquoi protéger ?
Le réseau est devenu rude. Les sites web sont constamment attaqués par des attaques (D)DoS automatisées et des spams de formulaires sans fin.
Ce qui semble anodin peut vite devenir une catastrophe.
- Les serveurs s'effondrent sous la charge, les visiteurs ne voient plus que des messages d'erreur.
- Les bases de données débordent, les boîtes aux lettres explosent de spams inutiles.
- Les domaines sont mis sur liste noire, la communication par e-mail est bloquée, parfois pendant des jours.
Les contre-mesures habituelles ne sont guère efficaces.
- Les CAPTCHA frustrent les vrais utilisateurs, mais n'arrêtent plus les bots depuis longtemps.
- Des outils comme "Buster : Captcha Solver for Humans", des services de solveurs de captcha et de plus en plus de systèmes basés sur l'IA les surmontent sans peine.
- Les pots de miel sont reconnus et ignorés.
- L'obfuscation JavaScript est rapidement déjouée.
- Même les modèles d'IA simples analysent les textes sources et trouvent en quelques secondes des moyens de contourner ces mécanismes de protection.
Les pirates s'équipent d'algorithmes de plus en plus intelligents, de réseaux de bots automatisés et d'IA capables d'apprendre. Celui qui veut protéger son site web doit également suivre le mouvement. Seuls ceux qui modernisent constamment leurs mesures gardent une longueur d'avance sur la vague.
Deux niveaux de protection, une extension : brain_protect pour TYPO3
Avec l'extension TYPO3 brain_protect, vous protégez doublement votre site web : contre les attaques (D)DoS et contre le spam de formulaires.
Protection fiable contre le SPAM pour les formulaires en ligne
brain_protect est une alternative efficace et entièrement conforme au RGPD aux (re)captchas classiques.
Pour chaque entrée de formulaire, l'extension génère côté serveur une signature cryptographique de courte durée basée sur l'algorithme Time-based One-Time Password (TOTP). Cette signature est automatiquement envoyée lors de l'envoi et vérifiée par le serveur. Seules les demandes valablement signées sont acceptées. Dans la configuration standard, tous les formulaires Extbase sont déjà protégés.
Ainsi, les spams restent dehors de manière fiable, sans captchas, sans sessions et sans connexions à des services externes. La protection reste efficace même si les méthodes traditionnelles comme les pots de miel, les reCaptchas ou l'obscurcissement JavaScript ont été contournées depuis longtemps.
Protection contre les (D)DoS grâce à un Rate Limiting intelligent
Lorsque les mécanismes de protection traditionnels au niveau du serveur ou du centre de calcul ne suffisent pas, brain_protect intervient :
L'extension limite de manière ciblée le nombre de requêtes par unité de temps, avant même qu'elles n'atteignent le front-end TYPO3 ou la base de données, très gourmands en ressources. Les attaques (D)DoS sont ainsi interceptées à temps et les charges du serveur sont réduites efficacement.
Le Rate Limiting fonctionne sans session, réagit de manière dynamique à la situation actuelle et peut être configuré individuellement grâce à de nombreuses options : Pour une protection optimale au niveau de l'application.
Efficacité testée : 99,2% de taux de détection des spams de formulaires
Nous avons présenté pour la première fois à un public averti le 18 septembre 2024, lors des TYPO3 University Days à Leipzig (t3ud24), la nouvelle alternative captcha sans barrières pour la protection contre le SPAM de formulaires pour TYPO3.
L'évaluation du test bêta d'un an qui a suivi, avec un taux de reconnaissance de 99,2% du SPAM de formulaire, confirme que brain_protect est la solution universelle contre le SPAM de formulaire pour les systèmes TYPO3.
Lien vers Youtube : https://www.youtube.com/watch?v=wry0AaLfUR8
- 03:01 Occasions typiques de faire quelque chose contre le spam de formulaire
- 04:41 Approches contre le spam de formulaire
- 07:56 Problèmes des solutions existantes
- 13:08 Notre motivation pour brain_protect
- 17:40 Approche universelle : comment fonctionne brain_protect ?
- 22:59 Edge cases + caractéristiques
- 26:32 Bêta privée de novembre 2024 à octobre 2025
Aperçu des prix
| Durée de validité | Prix régulier |
|---|---|
| 1 an | 300 € |
| 2 ans | 600 € |
| 3 ans | 900 € |
Après expiration de la durée choisie, le prix annuel régulier de 300 € (357,50 € TVA comprise) ou selon la liste de prix actuelle s'applique.
Sauf indication contraire, tous les prix sont nets, TVA de 19% en sus.
Cession du logiciel
La licence d'utilisation du logiciel brain_protect est non exclusive, non transférable et illimitée dans le temps. Elle est valable pour une (1) installation TYPO3 (en général système de production) ainsi que pour une (1) installation TYPO3 associée (en général système de test ou de staging), pour un nombre illimité de sites web au sein de l'installation TYPO3 et pour un nombre illimité de formulaires d'un site web TYPO3.
Conditions
Le contrat (durée) débute le jour de la mise à disposition du jeton Auth. Sauf accord contraire, l'installation est effectuée par le client. L'extension ainsi que les informations sur le fonctionnement précis ne doivent pas être transmises ou publiées à des tiers. Il est interdit de développer des concepts ou des outils qui pourraient contourner ou neutraliser brain_protect. Les frais de licence sont calculés à l'avance pour la durée choisie (1, 2 ou 3 ans). A l'expiration de la durée convenue, la licence est prolongée d'une (1) année supplémentaire, sauf si elle est résiliée par écrit avec un préavis d'un (1) mois avant la fin de la durée.
Demander une offre / commander une/des licence(s)
FAQ
L'extension TYPO3 brain_protect est compatible avec TYPO3 v10, v11, v12 et v13.
Avec brain_protect, la protection contre le spam de formulaire n'est pas du ressort des rédacteurs web.
Rien ne change donc pour les rédacteurs et il n'y a rien à prendre en compte pour eux.
Après l'installation, tous les formulaires basés sur Extbase sont immédiatement protégés.
La protection pour les autres formulaires en ligne peut être configurée en quelques gestes.
Les formulaires existants ne doivent pas être adaptés.
Toutes les configurations optionnelles se font de manière centralisée via la configuration de l'extension.
Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) est un test généré et évalué par des ordinateurs afin de déterminer si l'utilisateur est un être humain ou un programme automatisé (bot). Un inconvénient majeur réside dans la réduction de l'accessibilité : les personnes qui voient mal ou pas du tout ce qui s'affiche à l'écran sous forme de CAPTCHA sont pratiquement bloquées.
reCAPTCHA est très répandu et propose des options visibles et invisibles. Il a été développé par Google. Lors de l'utilisation de ce service, les données personnelles des visiteurs du site (par ex. l'adresse IP) sont transmises à des serveurs situés aux États-Unis. Google affirme n'utiliser ces informations qu'à des fins d'analyse de risque. Néanmoins, la transmission de ces données à des fournisseurs tiers en dehors de l'UE pose problème.
Le visiteur du site doit sélectionner toutes les images qui présentent une certaine caractéristique. Par exemple : "Cliquez sur toutes les images qui comportent un feu de signalisation". Ce procédé est souvent meilleur qu'un simple captcha, mais celui qui doit constamment remplir ces captchas est vite agacé ! Et là aussi, il y a des inquiétudes quant à la protection des données, car le service est souvent proposé par des fournisseurs tiers dont les serveurs sont situés en dehors de l'UE.
Dans cette variante du captcha, une version audio du test est diffusée au lieu d'une image. Le visiteur de la page doit saisir les mots ou les chiffres qui lui sont présentés dans un fichier audio. Ce procédé est souvent utilisé comme complément aux grilles d'images ou comme alternative pour les malvoyants afin de garantir l'accessibilité. La barrière peut ici être la langue dans laquelle l'audio est joué.
L'obscurcissement JavaScript consiste à modifier le code JavaScript d'une page Web de manière à ce qu'il soit difficile à lire et à comprendre pour les humains, mais qu'il reste exécutable pour les ordinateurs. Cette opération est souvent effectuée pour des raisons de sécurité ou de protection de la propriété intellectuelle, afin d'éviter que le code source ne puisse être facilement copié ou analysé.
Les techniques typiques de l'obscurcissement JavaScript sont la modification des variables et des noms de fonction, la suppression des espaces et des commentaires, le cryptage des chaînes de caractères et les structures de flux de contrôle confuses.
Avantages de l'obfuscation
- Rend le code plus difficile à comprendre afin d'empêcher l'imitation et l'utilisation non autorisée, offrant ainsi une protection contre la rétro-ingénierie.
- Cache les sections de code critiques aux yeux des attaquants potentiels, ce qui améliore quelque peu la sécurité (perçue).
- Suppression des parties inutiles (comme les espaces et les commentaires) peut réduire la taille du fichier et améliorer ainsi le temps de chargement du site Web.
Inconvénients de l'obfuscation
- Le code modifié est plus difficile à déboguer et à maintenir.
- Dans certains cas, l'obfuscation peut allonger le temps d'exécution du code
- L'obfuscation n'offre pas une protection absolue, car les développeurs expérimentés peuvent toujours être en mesure d'analyser et de comprendre le code.
L'obscurcissement JavaScript peut être utile, mais ne constitue pas en soi une protection complète et nécessite des mesures de sécurité supplémentaires !
TOTP ("time based one time password") est une méthode répandue et efficace qui consiste à utiliser des mots de passe valables uniquement pour une durée limitée. Elle est souvent utilisée pour l'authentification à deux facteurs (2FA). TOTP est basé sur l'algorithme HMAC-SHA-1, où l'heure actuelle est utilisée comme partie de la saisie.
Les mots de passe générés ne sont valables que pour une courte période, typiquement 30 à 60 secondes. Chaque mot de passe généré ne peut être utilisé qu'une seule fois.
Lors de la mise en place du TOTP, une clé cryptographique est partagée entre l'utilisateur et le serveur. Le serveur et l'utilisateur utilisent tous deux l'heure actuelle pour générer le mot de passe unique. Comme les mots de passe ne sont valables que pendant une courte période et qu'ils sont uniques, le risque d'abus est fortement réduit. La complexité est néanmoins relativement faible.
Le point faible potentiel d'une attaque de l'homme du milieu (MitM) ne pose pas de problème avec un certificat SSL valide.
Un honeypot est un champ de saisie supplémentaire, invisible et vide dans un formulaire. Ce champ n'est pas visible pour les utilisateurs humains et ne doit donc pas être rempli. En revanche, les robots, qui sont souvent programmés pour remplir tous les champs d'un formulaire, remplissent souvent ce champ malgré tout. Ainsi, un champ Honeypot rempli est un signe de spam de formulaire. Dans ce cas, l'envoi du formulaire est bloqué ou l'enregistrement est marqué comme spam.
Il est possible de prendre des mesures supplémentaires pour s'assurer que le champ Honeypot n'est pas rempli par erreur par des utilisateurs humains. Il s'agit notamment de donner au champ un nom trompeur pour les humains ou de le cacher de manière à ce qu'il reste invisible pour les lecteurs d'écran. Cette méthode ne doit pas entraver le flux normal des utilisateurs, car les vrais utilisateurs ne voient pas le champ Honeypot. Souvent, cela ne fonctionne pas de manière fiable ; l'approche du pot de miel pose notamment des problèmes d'accessibilité et génère des faux positifs en raison de l'auto-complétion des formulaires par le navigateur.
Un formulaire protégé par un pot de miel peut être piraté assez facilement, le degré de protection est donc plutôt faible. Les robots plus avancés peuvent reconnaître et ignorer les pots de miel. Un pot de miel est inefficace contre les attaques simples mais ciblées.
Les faux positifs sont des cas où des utilisateurs humains légitimes sont identifiés à tort comme des bots. Cela entraîne de la frustration, des interactions perdues et peut parfois nuire à la réputation d'un site web. Les causes peuvent être des tâches CAPTCHA difficiles, des problèmes techniques, un manque d'accessibilité et un comportement atypique des utilisateurs. Parfois, c'est aussi parce que des champs invisibles du honeypot sont remplis par une fonction de remplissage automatique du navigateur.