Captcha & antibot : ce qui filtre les robots

Si tu mets un formulaire en ligne sans protection, tu reçois 200 spams par jour en 48h. Voilà les outils, du plus simple au plus solide.

1. Le honeypot (gratuit, invisible)

Tu rajoutes un champ caché en CSS dans ton formulaire. Un humain ne le voit pas et ne le remplit pas ; un bot, lui, remplit tout. Si le champ arrive rempli côté serveur → spam, on jette.

<input type="text" name="website" tabindex="-1" autocomplete="off"
       style="position:absolute;left:-9999px;">

Ça filtre 80 % des bots tout seul. Combine-le avec ce qui suit pour les 20 % restants.

2. Cloudflare Turnstile (gratuit, sans clic)

Le plus moderne. Pas de « cliquer sur les feux rouges ». Le visiteur ne voit qu’un petit badge, Cloudflare évalue silencieusement.

• Pour qui : tout le monde, recommandé en 2026.
• Comment : crée une clé site sur dash.cloudflare.com → Turnstile, ajoute le widget côté front, vérifie le token côté back.

3. hCaptcha (gratuit, équivalent reCAPTCHA)

Comme reCAPTCHA mais respectueux de la vie privée. Recommandé si tu n’aimes pas Google.

4. Google reCAPTCHA v2 / v3

• v2 : la fameuse case « Je ne suis pas un robot » + sélection d’images.
• v3 : invisible, retourne un score 0.0–1.0. Tu décides du seuil (généralement 0.5).

5. Rate-limit côté serveur

Indispensable, en plus d’un captcha. Limite à 5 envois par IP par minute, par exemple. Plesk a un firewall basique. Sinon, fail2ban côté Linux.

Erreur classique

« J’ai mis reCAPTCHA, j’en ai encore plein »

Tu vérifies le token côté serveur ? Beaucoup de gens mettent le widget front et oublient l’appel API back-end qui valide. Sans ça, c’est juste du décor.

En résumé

• Site personnel ou MVP : honeypot + rate-limit suffisent.
• Vrai site qui prend des inscriptions : ajoute Cloudflare Turnstile.
• Site critique (banque, e-commerce sensible) : Turnstile + scoring comportemental côté back (voir notre article antifraude visiteurs).