Protéger l’adresse email de votre site Web : prévenir les spams

Indiquer une adresse email de contact sur son site Web est recommandé, mais peut par conséquence l’exposer aux risques d’attaques de spam. Dans cet article, nous répondons à la question suivante : comment peut-on limiter l’accès indésirable des spambots aux adresses email sans enfreindre les obligations du RGPD ? Nous vous présentons les méthodes les plus populaires pour protéger son adresse email et expliquons leurs avantages et inconvénients.

Collecte d’emails : comment les spambots guettent-ils leurs proies ?¶

La collecte d’emails (email harvesting en anglais, littéralement « moisson d’emails » en français) est l’acquisition d’adresses email pour de la publicité déloyale, des attaques de phishing et la propagation de logiciels malveillants. Des programmes spécialisés, qui sont des robots moissonneurs d’emails, ou spambots, passent au peigne fin les sites Web, les listes de contact, les forums et les réseaux sociaux à la recherche d’adresses email. La syntaxe caractéristique des adresses email fournit des indices pour identifier les informations convoitées. Par exemple, les robots effectuent des recherches dans les textes sources avec le signe @. Les spambots les plus développés incluent souvent d’autres orthographes, comme [at], [AT], (at) ou (AT) dans leur recherche.

La référence email HTML est encore plus traitresse, comme dans l’exemple mailto:utilisateur@domaine.fr. Ceci permet aux visiteurs d’un site Web d’ouvrir leur programme d’email préféré en un seul clic. C’est certes pratique, mais cela permet aussi aux spambots de comprendre clairement qu’il s’agit d’une adresse email prête à être capturée. Par conséquent, les opérateurs de sites Web essaient parfois de forcer les modèles d’adresses email classiques.

Formule classique d’une adresse email sans protection¶

Il est important de comprendre comment une adresse email est intégrée à une page Web pour mieux se protéger des attaques automatiques de robots moissonneurs. Un dispositif simple et sans obstacle d’une adresse électronique peut par exemple être intégré dans une page en utilisant le code suivant :

<p>Pour toute information complémentaire, contactez-nous par email :
<a href="mailto:utilisateur@domaine.fr">utilisateur@domaine.fr</a>.
</p>

Du point de vue de l’utilisateur, c’est la meilleure présentation d’adresse email sur le Web. Afin de préserver la convivialité de cette présentation pour l’utilisateur, les méthodes les plus populaires pour protéger son adresse email tendent à la rendre invisible dans le texte source, sans changer son apparence dans le navigateur. Il est également possible de séparer l’adresse email du site Web et de faire suivre la référence mailto grâce à un serveur.

Pour protéger son adresse email des spams, les méthodes efficaces consistent donc à la remplacer, la masquer ou l’encoder dans le texte source, ce qui entrave les spambots mais pas les utilisateurs.

Méthode n°1 : les CAPTCHAs¶

Les CAPTCHAs permettent de protéger l’adresse email d’un site Web contre le spam. Ces adresses chiffrées ne sont alors affichées en texte clair que lorsque les utilisateurs ont prouvé qu’ils étaient humains en passant un test. Ces contrôles peuvent demander la saisie d’une combinaison de lettres ou de chiffres. Il est par exemple également possible d’effectuer de courts calculs, des exercices de déduction ou des puzzles.

Les CAPTCHAs offrent une protection relativement élevée contre les spams, car ils permettent de chiffrer les adresses email, de façon qu’elles soient cachées dans le code source. Les CAPTCHA s’intègrent désormais certes très bien dans le design d’un site Web, mais l’effort supplémentaire nécessaire pour accéder à l’adresse email peut avoir un effet négatif sur la convivialité du site Web. Cela va en effet à l’encontre du principe d’accès libre et sans barrière aux informations de contact importantes.

Méthode n°2 : remplacer une adresse email¶

La stratégie de protection basée sur la substitution consiste à retirer l’adresse email du texte source et de la remplacer par une image ou un lien de redirection vers le mailto.

Intégrer une adresse email sous forme d’image¶

Lorsqu’une adresse email est insérée sous forme de visuel, elle reste lisible aux yeux des utilisateurs, mais est difficile à reconnaitre pour les robots. L’insertion d’informations de contact sous forme d’image apporte par conséquent une haute protection contre les spams. Le code HTML suivant permet d’intégrer une adresse email en tant qu’image sur un site Web.

<img src="Chemin/nomdufichier.png" with="120" height="20" alt="Pour toute information complémentaire, contactez-nous par email : utilisateur@domaine.fr ">

Cette présentation sous forme d’image est lisible pour la plupart des utilisateurs. Le texte ne peut toutefois être copié ou lié à une référence mailto. Si taper l’adresse manuellement est déjà pénible pour la plupart des utilisateurs, les informations textuelles présentées sous forme graphique ne sont de plus pas accessibles pour les personnes ayant une déficience visuelle. Il est donc préférable d’inclure une description de l’image sous forme d’alt-texte, car ces descriptions sont lisibles par les liseurs d’écran. En revanche, elles sont également faciles à déchiffrer pour les spambots : cette méthode seule n’est donc pas recommandée à titre de prévention contre les spams.

Lien HTML par redirection¶

Pour protéger son adresse email des robots moissonneurs, il peut être judicieux de la séparer du site Web. On utilise pour cela généralement un script, qui redirige les utilisateurs vers le lien du mailto lorsqu’ils cliquent dessus. Ceci permet d’ouvrir directement le programme email de l’utilisateur avec l’adresse email correspondante. Pour les spambots qui déchiffrent le code source d’un site Web, ce lien ressemble à un fichier, ce qui le protège d’une lecture automatique. Ce système de protection peut par exemple être mis en œuvre grâce à un lien vers un fichier PHP qui contient la redirection suivante :

<p>Pour toute information complémentaire, contactez-nous par email :
<a href="redirect-mailto.php">E-Mail</a>.
</p>

Le contenu du fichier redirect-mailto.php est un script qui redirige vers l’authentique lien mailto.

<?php
header("Location: mailto:utilisateur@domaine.fr"); 
?>

Cette technique présente un inconvénient, puisque l’utilisateur a besoin de passer par un intermédiaire pour accéder au mailto, et donc à l’adresse email. Dans la pratique, il s’agit en général de messageries tels qu’Outlook ou Thunderbird. Dans les navigateurs récents, il est toutefois possible de définir comme intermédiaire des services email Web.

Méthode n°3 : masquer son adresse email¶

Si vous ne souhaitez pas remplacer complètement votre adresse email par une image ou un lien mailto, il existe des stratégies alternatives. Il est notamment possible de chiffrer ou de masquer son adresse email.

Masquer son adresse email en encodant les caractères¶

L’encodage de caractères utilisé pour masquer les adresses email dans le code source est basé sur les entités HTML ou le code HEX. Ce type d’encodage est adapté pour masquer les adresses email, puisque les caractères en question sont automatiquement transcrits dans le navigateur.

Si les caractères de l’adresse email utilisateur@domaine.fr sont masqués par des entités HTML, ils sont d’abord écrits dans un style alternatif.

@ = @ . = . (point)

Ceci apparaitra ainsi dans le code source :

<p>Pour toute information complémentaire, contactez-nous par email :
<a href="mailto:utilisateur&commat;domaine&period;fr">utilisateur&commat;domaine&period;fr</a>
</p>

Si vous souhaitez chiffrer l’ensemble de l’adresse email, il est possible de la représenter à l’aide de l’encodage HEX. Pour cela, on utilise le caractère Unicode correspond qui apparaitra alors ainsi :

numérocorrespondant;

En général, le numéro Hex de la lettre correspondante est précédé par un « x » minuscule. Par exemple, la lettre « m » s’écrit ‘m’ ou ‘m’ en décimal. L’adresse email utilisateur@domaine.fr incluant le lien mailto sera donc écrite de la façon suivante :

<p>Pour toute information complémentaire, contactez-nous par email :
<a href="&#x6d;&#x61;&#x69;&#x6c;&#x74;&#x6f;&#x3a;&#x75;&#x73;&#x65;&#x72;&#x40;&#x64;&#x6f;&#x6d;&#x61;&#x69;&#x6e;&#x2e;&#x64;&#x65;">E-Mail</a>.
</p>

En général, masquer son adresse email en encodant les caractères est facile et rapide, mais la protection est relativement faible par rapport à d’autres mesures, car de nombreux spambots sont aujourd’hui capables de déchiffrer les encodages simples.

Masquer son adresse email en ajoutant des caractères¶

En principe, il est possible de masquer son adresse email en ajoutant des caractères superflus dans le code source. De cette façon, les programmes ne perçoivent pas l’adresse email comme un tout, et sont dans l’impossibilité de la lire automatiquement. Les commentaires HTML constituent une solution facile pour mettre en place ce type de protection.

<!-- commentaire -->

Si les commentaires sont insérés de cette façon, les robots qui tentent de scanner le site Web ne seront pas en mesure de les lire :

<p>Pour toute information complémentaire, contactez-nous par email :
u<!-- commentaire -->ser@domai<!-- commentaire -->n.fr.
</p>

Alors que les utilisateurs voient s’afficher l’adresse email correcte dans le navigateur Web, un spambot lit probablement aussi le texte masqué dans l’élément span. L’inconvénient de ce masquage est que l’adresse email ne peut pas être liée à une référence HTML. Les utilisateurs doivent donc copier manuellement l’adresse dans leur programme de messagerie.

Méthode n°4 : chiffrer son adresse email¶

L’une des méthodes courantes pour le chiffrement d’email est ROT13, qui peut être mis en œuvre avec juste quelques lignes des JavaScript.

<script type="text/javascript">
function decode(a) {
  return a.replace(/[a-zA-Z]/g, function(c){
    return String.fromCharCode((c <= "Z" ? 90 : 122) >= (c = c.charCodeAt(0) + 13) ? c : c - 26);
  })
}; 
function openMailer(element) {
var y = decode("znvygb:orahgmre@qbznva.qr");
element.setAttribute("href", y);
element.setAttribute("onclick", "");
element.firstChild.nodeValue = "Ouvrir programme email";
};
</script>
<a id="email" href=" " onclick='openMailer(this);'>E-Mail : cliquer ici</a>

Ce code montre, à la ligne 9, la version chiffrée de l’adresse utilisateur@domaine.fr, comprenant la référence mailto (znvygb:hgvyvfngrhe@qbznvar.se), ainsi que les instructions pour le chiffrement, lignes 2 à 7. Les fonctionnalités des lignes 8 à 13 permettent d’ouvrir le programme email favori de l’utilisateur, et d’inscrire l’adresse en clair dans les champs du destinataire. Le script s’enclenche lorsque l’on clique sur le lien « E-Mail : cliquer ici » (lignes 15 et 16). Juste après, on a accès au texte « Ouvrir programme email » (ligne 12).