Ici & Là

Plugin NoSPAM : limiter le risque de spam dans les forums de SPIP

François Daniel Giezendanner — 2016-07-31T22:44:55Z

Sommaire

Préambule

Cédric Morin nous offre NoSPAM, un plugin qui introduit plusieurs mécanismes visant à limiter les spams dans les forums publics.

Un jeton périssable

Le formulaire de forum se voit doté d'un jeton périssable et lié à l'IP. Ce jeton empêche la réutilisation du même formulaire au delà de la durée de péremption, et rend ainsi le post automatique par robot plus compliqué.

De plus, le plugin utilise quelques règles de prudence pour modérer automatiquement les messages suspects.

A ne pas utiliser avec autre plugin anti-spam

Si vous voulez aider à améliorer l'efficacité de ce plugin avec vos retours, ne l'utilisez pas en même temps qu'un plugin captcha ou un autre plugin anti-spam.

Le but de ce plugin est de faire aussi bien ou mieux qu'un captcha, mais sans gêner l'internaute.

Article détaillé

NoSPAM
Un plugin pour limiter le risque de spam dans les forums de SPIP.
jeudi 20 novembre 2008, par Cedric Morin
http://www.spip-contrib.net/NoSPAM

CAPTCHA : une technique indispensable pour les forums SPIP

François Daniel Giezendanner — 2016-07-25T03:10:06Z

Cet article propose qu'une mise à jour soit effectuée par la communauté SPIP pour les contributions « Balise #CAPTCHA » et « Plugin Captcha2 »

Sommaire

Cet article est une copie de l'article :

CAPTCHA : une technique indispensable pour les forums SPIP
jeudi 27 juin 2013 par François Daniel Giezendanner
http://icp.ge.ch/sem/cms-spip/spip.php?article1853

Les attaques de spams sont récurrentes

Nous sommes fréquemment attaqués par des vagues de spams, par exemple :

Explosion des statistiques sur ICP du 30 octobre au 12 novembre 2012 et du 31 décembre 2012 au 12 janvier 2013

Des parades plus ou moins efficaces existent, c'est l'objet de cet article concernant SPIP.

Captcha ou pas Captcha : Un débat aujourd'hui dépassé

Nous avons déjà parlé de cette problématique dans l'article « Pour ou contre les CAPTCHA ? » et j'ai déjà eu l'occasion d'intervenir dans le forum de l'article :

Balise #CAPTCHA
12 juillet 2007 – par Bernard Blazin
avec les messages :
http://contrib.spip.net/Balise-CAPTCHA#forum429037
http://contrib.spip.net/Balise-CAPTCHA#forum429127

Le 12 avril 2010 à 12:38 Cedric Morin écrivait :

Il est conseillé d'utiliser le plugin NoSpam qui est tout aussi efficace sans constituer une gêne pour les utilisateurs.

Les CAPTCHA ont la particularité d'être plus gênants pour les utilisateurs licites que pour les spammeurs, tout le contraire de ce qu'on attend d'une fonction intelligente.

et le 13 avril 2010 à 11:46 Cedric Morin ajoutait :

Au sujet des CAPTCHA, et en ce qui me concerne, le débat est clos depuis longtemps : c'est une réponse d'informaticien à un problème d'informaticien, au seul détriment des utilisateurs.
Autrement dit parce que les développeurs versent dans la facilité et n'ont aucune envie de se compliquer la vie, ils reportent le problème et ses inconvénients sur les utilisateurs.

Donc c'est une très bonne solution pour arriver à se débarrasser des utilisateurs en même temps que du SPAM, les-dits utilisateurs migrant au long terme vers des sites où ils sont mieux considérés.

Le nivellement pas le bas n'est pas une option défendable à mon sens.

Captcha ou pas Captcha, c'est un débat que j'avais ouvert lundi 12 avril 2010 dans l'article :

Pour ou contre les CAPTCHA ?

Ce débat est aujourd'hui dépassé ainsi que je l'explique ci-dessous.

Le Captcha est indispensable pour les forums SPIP

Pour nous aujourd'hui l'analyse de Cédric Morin ne peut nous satisfaire car notre situation face aux spameurs est devenue intenable avec les plugins de « protection » disponibles sous SPIP et nous avons posé la question suivante dans le forum :

Mise à jour du plugin captcha2 : antispam pour SPIP 2.1 et SPIP 3
par François Daniel Giezendanner - 26 juin 18:00

Soit :

Chers SPIPEURS,

Compte tenu de la situation des attaques persistantes de spams auxquels nous sommes confrontés actuellement sur nos serveurs il apparait que nos sites Drupal sont excellemment protégés avec l'add-on Captcha alors que nos 80 sites SPIP en version 2.1.22 ne sont pas protégés avec le plugin no-spam (quelles que soient les manières de le régler), à tel point que nous avons du fermer tous les forums des 80 sites SPIP.

Il nous apparaît maintenant claire que la mise à jour du plugin captcha2 :

Plugin Captcha2
Ajoute un cryptogramme visuel à vos formulaires pour les protéger du Spam
3 octobre 2007 – par erational

est indispensable et doit être effectuée dans les meilleurs délais et cela tant pour SPIP 2.1 que pour SPIP 3. A ce stade du problème la polémique de la pertinence ou non de la technique-philosophie du captcha est largement dépassée devant l'ampleur du déluge de spams auquel nous sommes confrontés.

La question est de savoir si erationel est motivé à le faire ou si un autre spipeur talentueux se sent le courage de s'y atteler ?!

Bien cordialement

FDG

Le 27 juin 10:59 nous avons posté :

Bonjour,

Peut-être que l'effort devrait être produit à partir du développement de Bernard Blazin :

Balise #CAPTCHA
12 juillet 2007 – par Bernard Blazin

Aux spécialistes en la matière à en décider.

Bien cordialement

FDG

Le 1er juillet 12:11 Gilles écrit :

Juste un complément pour indiquer qu'un message a été diffusé sur la liste spip-zone pour recommander FORTEMENT de mettre à jour le plugin noSpam (version 1.5.3).
http://archives.rezo.net/archives/spip-zone.mbox/6LE6XILV6EYU3GEPE4S36CLR52N5KYCO/

Il s'avère que la stratégie des spammeurs a évolué et ils ont trouvé des moyens pour exploiter les commentaires (ça peut aller jusqu'à la saisie manuelle qui ne coûte rien dans certains pays, et casse tous les captcha)

Conclusion

Donc l'équipe persiste et signe avec noSpam 1.5.3 et n'ouvre pas la porte vers le captcha !

Nous avons installé le plugin noSpam 1.5.3 sur toutes nos fermes à SPIP sur ICP, ainsi l'expérience à venir montrera comment ce plugin noSpam 1.5.3 est à même de contrer les spams.

Nous souhaitons tout de même vivement qu'un plugin de captcha performant soit créé pour SPIP 2.1 et SPIP 3 !

Autre développement de Captcha pour SPIP

Stopper le spam dans le forum
© Christian PAULUS. Document créé le 12 août 2010 , mis à jour le 17 août 2010.

Pour ou contre les CAPTCHA ?

François Daniel Giezendanner — 2016-07-25T02:53:44Z

Sommaire

Cet article est une copie de l'article :

Pour ou contre les CAPTCHA ?
lundi 12 avril 2010
par François Daniel Giezendanner
http://icp.ge.ch/sem/cms-spip/spip.php?article1028

Dernière mise à jour : jeudi 27 juin 2013

Notre problématique

Les captcha sont décriés pour leur non conformité du point de vue accessibilité.

Certes, mais quoi qu'on en dise concernant leur efficacité ou leur manque d'efficacité, ils sont tout de même bien utiles pour éviter un certain nombre d'attaques de spammeurs.

Le plugin captcha pour SPIP se révélait très utile/efficace avec SPIP 1.9.x. Nous regrettons qu'à ce jour il n'ait pas été adapté pour SPIP 2.0.x et SPIP 2.1.

La réflexion est ouverte sur le Web quant à la pertinence d'utiliser les Captcha, on lira avec profit les excellents articles du W3C « L'inaccessibilité des CAPTCHA » et de Wikipédia « Captcha », ainsi que divers dialogues comme par exemple ici :


Extrait du forum de l'article « Balise #CAPTCHA » de Bernard Blazin: Forum : Liste de commentaires 1

et là :


Extrait du forum de l'article « Balise #CAPTCHA » de Bernard Blazin: Forum : Liste de commentaires 2

Dans l'un de ses messages, Cédric Morin (CM) déclare :

Au sujet des CAPTCHA, et en ce qui me concerne, le débat est clos depuis longtemps : c'est une réponse d'informaticien à un problème d'informaticien, au seul détriment des utilisateurs.
Autrement dit parce que les développeurs versent dans la facilité et n'ont aucune envie de se compliquer la vie, ils reportent le problème et ses inconvénients sur les utilisateurs.

Donc c'est une très bonne solution pour arriver à se débarrasser des utilisateurs en même temps que du SPAM, les-dits utilisateurs migrant au long terme vers des sites où ils sont mieux considérés.

Le nivellement pas le bas n'est pas une option défendable à mon sens.

Chacun jugera l'intérêt du Captcha en fonction de son analyse et de son expérience, le fait est qu'il est loin d'être une technologie obsolète au vu des nombreux sites, et pas des moindres, qui l'utilisent intensivement.

et je vous invite à la lecture de quelques autres articles intéressant qui traitent du sujet.

Aujourd'hui jeudi 27 juin 2013 nous faisons un appel à la communauté SPIP pour mettre à jour ses plugins Captcha :

CAPTCHA : une technique indispensable pour les forums SPIP

Information sur les CAPTCHA

Selon Wikipédia :

Un captcha est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur.

Parce que le test est réalisé par un ordinateur, en opposition avec les tests de Turing standard réalisés par des humains, un captcha est souvent décrit comme un test de Turing inversé. Ce terme est néanmoins ambigu parce qu'il pourrait aussi signifier que les participants essaient de prouver qu'ils sont des ordinateurs.

À propos du nom

« Captcha » est un rétro-acronyme : le mot se prononce comme capture en anglais et est censé être composé des initiales de :

« Completely Automated Public Turing test to Tell Computers and Humans Apart »

soit en français :

« Test public de Turing complètement automatique ayant pour but de différencier les humains des ordinateurs ».

Ce terme, qui est une marque déposée par l'université Carnegie Mellon, a été inventé en 2000 par Luis von Ahn, Manuel Blum et Nicholas J. Hopper de cette université, et par John Langford d'IBM. Le nom « captcha » peut également être interprété comme « Catcha » ou « Gotcha », qui signifient « Je t'ai eu ».

Applications

Ce test est utilisé sur Internet dans les formulaires pour se prémunir contre les soumissions automatisées et intensives réalisées par des robots malveillants.

La vérification utilise la capacité d'analyse d'image ou de son de l'être humain. Un captcha usuel requiert ainsi que l'utilisateur tape les lettres et les chiffres visibles sur une image distordue qui apparait à l'écran. Certains sites Web préfèrent afficher une image qui contient une question mathématique.

Ils sont utilisés :

contre le spam :
lors de l'inscription à des webmails gratuits (dont les comptes pourraient être utilisés par la suite pour l'envoi de courriers non sollicités),
lors de la soumission de messages dans des forums de discussion et des blogs (qui pourraient permettre de faire du spamdexing), etc. ;
contre l'extraction automatisée de bases de données ;
contre les tentatives d'attaque par force brute ;
pour la participation à des sondages (dont les résultats pourraient être faussés par des votes automatisés).

Accessibilité

...Pour les personnes déficientes visuelles (comme les utilisateurs aveugles ou ayant des difficultés à la perception des couleurs), les captcha visuels présentent de sérieuses difficultés. Du fait que les captcha sont conçus pour ne pas être lus par les machines, les outils courants d'aide comme les lecteurs d'écran ne peuvent pas les interpréter ... Dans certaines juridictions, les propriétaires de sites peuvent devenir la cible de litiges s'ils utilisent des captcha qui discriminent les gens ayant certains handicaps...

Même pour des personnes parfaitement voyantes, les nouvelles générations de captcha, conçues pour résister aux logiciels sophistiqués de reconnaissance, peuvent devenir pratiquement impossibles à lire.

Un rapport du W3C a souligné l'inaccessibilité de certains tests visuels anti-robots.

Contournement

Il y a plusieurs approches pour mettre en échec un captcha :

utiliser une main-d'œuvre humaine pour les reconnaître ;
exploiter les bogues dans les implémentations qui permettent à l'attaquant de passer complètement outre le captcha ;
améliorer les logiciels de reconnaissance de caractères.

Captcha cracking -1-

Depuis quelques bannés les captchas sont devenus vulnérables. Les articles ci-dessous en donnent une petite illustration :

CAPTCHA is an annoying little test you run into at the end of making an account. It keeps robots and people who can't read spin-art twisted words from making an account.
http://www.cracked.com/funny-3168-captcha/

Breaking a Visual CAPTCHA
Greg Mori(1,2) and Jitendra Malik (1), (1) UC Berkeley Computer Vision Group, (2) Simon Fraser University
http://www.cs.sfu.ca/ mori/research/gimpy/

La mort des CAPTCHA : Comment les pirates arrivent-ils à les casser ?
Auteur : Nicolas Kerschenbaum, consultant sécurité XMCO, Couriel : Nicolas.Kerschenbaum@xmco.fr, Date : 20/06/2008
http://www.xmco.fr/article-captcha.html
Version complète en PDF : Actusécu n°19

Pourquoi les captchas basés sur les questions, les calculs ne sont pas fiables ?
Ecrit par admin le Dimanche 30 décembre 2007 à 19:42 - Catégorie Captchas,Outils de spam
http://www.seoblackout.com/2007/12/30/failles-captchas-questions-calculs/

Bypass Captcha : petit tour d'horizon des techniques pour contourner les captchas
Ecrit par admin le Mardi 25 décembre 2007 à 19:38 - Catégorie Captchas,Outils de spam,Sécurité Internet et SEO
http://www.seoblackout.com/2007/12/25/bypass-captcha-contourner-captchas/

Captcha cracking in JavaScript with Canvas and neural nets
Saturday, January 24th, 2009
http://ajaxian.com/archives/captcha-cracking-in-javascript-with-canvas-and-neural-nets

Captcha cracking -2-

Decoding CAPTCHA's
http://www.wausita.com/captcha/

Google Street View : Les captchas nouvelle génération !
Romain 30/03/2012 14:15
http://www.weblife.fr/actus/google-street-view-les-captchas-nouvelle-generation

Comment décoder les captchas hash md5 avec ZennoPoster
17 mars 2012 By LeMoussel
http://www.seoblack-inside.com/comment-decoder-captchas-md5-zennoposter/

Le captcha de Yahoo cassé par un malware
Edition du 06/02/2012 - par Jean Elyan avec IDG News Service
Des chercheurs ont découvert un moteur logiciel malveillant qui semble avoir la capacité de briser, au bout de quelques essais seulement, la sécurité Captcha utilisée par le service de messagerie de Yahoo.
http://www.reseaux-telecoms.net/actualites/lire-le-captcha-de-yahoo-casse-par-un-malware-23699.html

Captcha cracking in JavaScript with Canvas and neural nets
Publié le 26 janvier 2009 by Pierre
http://locallab.wordpress.com/2009/01/26/captcha-cracking-in-javascript-with-canvas-and-neural-nets/

Paresseux ? Captcha Trader saisit les captchas à votre place
Par Korben
http://outiweb.com/frame.php?pageid=16443

Google reCAPTCHA cracké, bis
Publié le 18-01-2011 à 20:28:58 dans le thème Authentification
http://www.zataz.com/news/20967/reCAPTCHA—crack—Asirra.html
Le système anti-spam reCAPTCHA de Google a été cracké. Les pirates seraient capables de créer plus de 800.000 faux comptes gMail par jour.

Crack du Captcha sur MegaUpload
1/27/09
http://thetitoo.blogspot.com/2009/01/crack-to-captcha-sur-megaupload.html

Les CAPTCHA sont crackés en moins d'une minute
Par : Cyril Fussy - Jeudi 17 avril 2008 à 10:28
http://www.theinquirer.fr/2008/04/17/les_captcha_sont_crackes_en_moins_dune_minute.html

Cracking M1 Free SMS Captcha using the Cloud
February 8, 2012
http://milo2012.wordpress.com/2012/02/08/cracking-m1-free-sms-captcha-using-the-cloud/

Smart software cracks sound-based CAPTCHA security
Jacob Aron, technology reporter, 16:24 24 May 2011
http://www.newscientist.com/blogs/onepercent/2011/05/audio-captchas-cracked.html
http://www.newscientist.com/article/mg21228356.200-websites-beware-its-so-easy-to-catch-out-captcha.html

Breaking CAPTCHA with automated humans
http://www.troyhunt.com/2012/01/breaking-captcha-with-automated-humans.html

Les Captcha de CNN, E-Bay, et Wikipédia forcés !
posté par stagiaire le 4 nov 2011
http://geeko.lesoir.be/2011/11/04/les-captcha-de-google-e-bay-et-wikipedia-forces/

CAPTCHA Cracked Again
Written by Jeff Orloff on November 8, 2011
http://www.allspammedup.com/2011/11/captcha-cracked-again/

Google reCAPTCHA cracked
Written by John P Mello Jr on January 5, 2011
http://www.allspammedup.com/2011/01/google-recaptcha-cracked/

Researcher cracks Yahoo CAPTCHA software
Antispam tech is considered to be among the strongest of its kind
By Matthew Broersma
January 18, 2008 12:00 PM
http://www.computerworld.com/s/article/9058000/Researcher_cracks_Yahoo_CAPTCHA_software

Crack Captcha (doc pdf)
Text-based CAPTCHA Strengths and Weaknesses
ACM Computer and Communication security 2011 (CSS'2011)
http://cdn.ly.tl/publications/text-based-captcha-strengths-and-weaknesses.pdf

Captcha cracking -3- Les chercheurs de l'université de Stanford ...

Researchers crack Microsoft, eBay, Yahoo, Digg audio captchas
Other sites are vulnerable to Decaptcha code created by researchers
By Tim Greene, Network World, May 24, 2011 11:15 AM ET
Researchers have figured out how to to crack captchas, making it possible to launch automated attacks against sites such as Microsoft, eBay and Digg where opening phony accounts could be turned into cash.
http://www.networkworld.com/news/2011/052411-researchers-captcha.html

Le décodeur de captchas, ou quand un robot se fait passer pour un humain
Par Jean-Luc Goudet, Futura-Sciences, Le 21 juin 2011 à 11h40
http://www.futura-sciences.com/fr/news/t/informatique/d/le-decodeur-de-captchas-ou-quand-un-robot-se-fait-passer-pour-un-humain_30999/
Une équipe d'informaticiens de l'université de Stanford a créé un logiciel, Decaptcha, capable de comprendre les captchas audio, et donc de déjouer les sécurités installées sur les sites pour différencier les internautes en chair et en os des robots logiciels. Efficacité démontrée chez eBay, Microsoft et Yahoo !.

Le décodeur de captchas, ou quand un robot se fait passer pour un humain
21 juin 2011
http://www.undernews.fr/authentification-biometrie/le-decodeur-de-captchas-ou-quand-un-robot-se-fait-passer-pour-un-humain.html

Les CAPTCHA ne résistent plus aux attaques
7 novembre 2011 - Charles-Édouard Carrier
http://www.synchro-blogue.com/synchro/2011/11/les-captcha-ne-resistent-plus-aux-attaques.html

Stanford researchers crack video CAPTCHA
By Ryan Heise on February 21, 2012 01:55 am
http://www.theverge.com/2012/2/21/2813512/stanford-researchers-crack-video-captcha

Briseur de captcha automatisé
Publié le 04-11-2011 à 00:05:19 dans le thème Authentification
Des chercheurs de l´université de Stanford mettent au point un outil automatisé qui passe outre les sécurités captcha. Les captchas, des systèmes de contrôle ayant pour mission de s'assurer que l'internaute qui lance une recherche, s'inscrit sur votre site ou post un message sur votre blog est bien un humain. Le captcha propose des lettres, des chiffres, voir des images que l'internaute doit reproduire afin de continuer son action.
http://www.zataz.com/news/21679/break-captcha.html

Les CAPTCHAs pas aussi sécurisés qu'on ne le pense
http://www.sur-la-toile.com/article-12852-Les-CAPTCHAs-pas-aussi-securises-qu-on-ne-le-pense..html

L'efficacité des captchas remise en question par des chercheurs de Stanford
http://www.clubic.com/application-web/actualite-455954-efficacite-capchas-remise-question-chercheurs-stanford.html

Des chercheurs parviennent à cracker les captcha
Actualité geek du 2 novembre 2011
http://www.firasofting.com/blog/2011/des-chercheurs-parviennent-a-cracker-les-captcha/

Captcha cracking -4-

Inside India's CAPTCHA solving economy
By Dancho Danchev | August 29, 2008, 12:07pm PDT
Summary : No CAPTCHA can survive a human that's receiving financial incentives for solving it, and with an army of low-waged human CAPTCHA solvers officially in the business of “data processing” while earning a mere $2 for solving a thousand CAPTCHA's, I'm already starting to see evidence of consolidation between India's major CAPTCHA solving companies. The consolidation [...]
http://www.zdnet.com/blog/security/inside-indias-captcha-solving-economy/1835

Spammers Outsourcing Captcha-Cracking Task For Cheap
Researchers at UC San Diego recently conducted a study according to which, spammers are recruiting numerous people largely in foreign countries to crack CAPTCHA systems at just a rate of $1/1,000 cracks.
http://www.spamfighter.com/News-14984-Spammers-Outsourcing-Captcha-Cracking-Task-For-Cheap.htm

CAPTCHA (WikiPedia)
http://fr.wikipedia.org/wiki/CAPTCHA

Alternatives au Captcha

Il existe plusieurs méthodes alternatives à la technique du Captcha et l'article du W3C « L'inaccessibilité des CAPTCHA » en fait une excellente présentation. De son côté, Xavier de BRABOIS dans son article « En finir avec les Captcha » nous parle d'une méthode alternative simple à la technique des Captcha, il s'agit du ...

...recours à des questions logiques tournantes. Une question aléatoire est posée, dont la réponse est évidente pour un homme, mais pas pour une machine :

Combien font 2 et 2 (en chiffre) ?
Quelle est la couleur du cheval blanc d'Henri IV ?
Quel est le prénom de Louis de Funès ?
Ecrivez 5 en toutes lettres :
Quelles est la couleur d'une orange ?

Ces questions simples sont conformes WAI [1], et sont certainement plus efficaces, plus confortables, voire plus amusantes que les hideux Captcha. vous aussi, bannissez donc les captcha, et inventez vos questions les plus absurdes qui dérouteront les moteurs de recherche.

Captcha et anti-spam pour SPIP

Captcha et anti-spam pour SPIP
Balise #CAPTCHA
12 juillet 2007 – par Bernard Blazin
http://www.spip-contrib.net/Balise-CAPTCHA
http://www.plugandspip.com/?Balise-CAPTCHA

Plugin Captcha : un captcha avec traitement AJAX

reCAPTCHA
22 juillet 2007 – par Fil
http://www.spip-contrib.net/reCAPTCHA

NoSPAM
20 novembre 2008 – par Cedric Morin
http://www.spip-contrib.net/NoSPAM

Plugin NoSPAM : limiter le risque de spam dans les forums de SPIP

Plugin anti-spam Captcha2

Captcha pour LimeSurvey

Utilisez CAPTCHA dans LimeSurvey

Description et problématiques du CAPTCHA

L'inaccessibilité des « CAPTCHA »
Solutions de rechange aux tests de Turing sur le Web
Note de groupe de travail du W3C du 23 novembre 2005
Une méthode courante pour limiter l'accès aux services disponibles sur le Web est celle constituée par la vérification visuelle d'une image pixelisée. Elle se révèle un problème majeur pour les utilisateurs qui sont aveugles, souffrent d'une mauvaise vue ou pâtissent d'une difficulté cognitive telle que la dyslexie. Ce document présente quelques solutions potentielles permettant aux systèmes de vérifier la nature humaine de leurs utilisateurs tout en préservant l'accès des personnes handicapées.
http://www.yoyodesign.org/doc/w3c/turingtest-20051123/

Captcha
Un article de Wikipédia, l'encyclopédie libre.
Ce captcha de « smwm » rend difficile son interprétation par un ordinateur en modifiant la forme des lettres et en ajoutant un dégradé de couleur en fond.
Un captcha est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur.
Parce que le test est réalisé par un ordinateur, en opposition avec les tests de Turing standard réalisés par des humains, un captcha est souvent décrit comme un test de Turing inversé. Ce terme est néanmoins ambigu parce qu'il pourrait aussi signifier que les participants essaient de prouver qu'ils sont des ordinateurs.
http://fr.wikipedia.org/wiki/Captcha

W3C : L'inaccessibilité des « CAPTCHA » : Solutions de rechange aux tests de Turing sur le Web
jeu 08 dec '05 à 00:39 dans la rubrique Techno du web
http://moosh.et.son.brol.be/blog/index.php/2005/12/08/178-w3c-l-inaccessibilite-des-captcha-solutions-de-rechange-aux-tests-de-turing-sur-le-web

Web Content Accessibility Guidelines (WCAG) 2.0
Lead translating organization : Association BrailleNet, INSERM - UPMC B23, 9 quai Saint Bernard, 75252 Paris Cedex 05.
http://www.w3.org/Translations/WCAG20-fr/

Captcha et accessibilité
Par Onesque le jeudi, avril 27 2006, 22:28
_ Des chercheurs de l'Université Carnegie Mellon ont inauguré cette méthode qu'ils ont appelée CAPTCHA (Completely Automated Public Turing test to Tell Computers and Humans Apart, ou Test de Turing public entièrement automatique pour distinguer les ordinateurs des humains en français) .
_ Une méthode courante pour limiter l'accès aux services disponibles sur le Web est celle constituée par la vérification visuelle d'une image pixelisée. Elle se révèle un problème majeur pour les utilisateurs qui sont aveugles, souffrent d'une mauvaise vue ou pâtissent d'une difficulté cognitive telle que la dyslexie. Ce document présente quelques solutions potentielles permettant aux systèmes de vérifier la nature humaine de leurs utilisateurs tout en préservant l'accès des personnes handicapées.
_ [http://moosh.et.son.brol.be/blog/index.php/2005/12/08/178-w3c-l-inaccessibilite-des-captcha-solutions-de-rechange-aux-tests-de-turing-sur-le-web->http://moosh.et.son.brol.be/blog/index.php/2005/12/08/178-w3c-l-inaccessibilite-des-captcha-solutions-de-rechange-aux-tests-de-turing-sur-le-web" class='spip_out' rel='external'>http://www.onesque.net/blog/index.php/post/2006/04/27/125-captcha-et-accessibilite

Les captchas anti-bot
Votre site est envahi par des inscriptions de bots (des robots qui s'inscrivent plusieurs fois à des sites dans le but de publier des messages publicitaires sur un livre d'or ou un forum, ou pour utiliser des comptes mail, ...)
Il existe de nombreuses solutions pour empêcher les bots d'agir : dans ce tutoriel, vous apprendrez à en coder quelques-unes en PHP.
En plus de vous apprendre à créer des captchas, ce cours va vous apprendre- je l'espère – des outils méconnus de PHP et des notions informatiques un peu plus complexes . Vous apprendrez dans le premier chapitre comment réaliser un captcha simple en texte sous la forme d'une question, vous y découvrirez comment manipuler le hasard avec PHP et comment générer des chaînes de caractères aléatoires.
Dans le deuxième chapitre, nous nous concentrerons sur la librairie GD, et sur quelques fonctions intéressantes : utiliser une police true type, et créer des effets : rotations, flous avec des matrices de convolution.
Enfin, dans le troisième chapitre, on aborde la manipulation de données binaires : d'abord la théorie et ensuite, la pratique avec PHP.
http://www.siteduzero.com/tutoriel-3-56201-les-captchas-anti-bot.html

WCAG 2.0, attention cet article n'est pas AAA
décembre 15th, 2008
http://nicolas.cynober.fr/blog/118,wcag-20-attention-cet-article-n%E2%80%99est-pas-aaa.html

En finir avec les Captcha
Par Xavier de BRABOIS : : Le 18/09/07 à 16h44
http://blog.idfr.net/index.php/2007/09/18/231-en-finir-avec-les-captcha

Asirra ou le prochain captcha
Par Xavier de BRABOIS : : Le 14/03/07 à 11h00
http://blog.idfr.net/index.php/2007/03/14/171-asirra-ou-le-prochaion-captcha#co

Script Megaupload auto-fill captcha : Remplir automatiquement le Captcha de MégaUpload
C'est un peu ironique que les utilisateurs cherchent des moyens pour remplir automatiquement les captchas pour gagner du temps. Les captchas ont été inventés pour empêcher les accès aux pages Web automatiquement. La plupart des captchas sur l'Internet sont soit facilement désactivables par les algorythmes (et oui même les équations mathématiques de base peuvent être résolus automatiquement).
Megaupload est un site d'hébergement sur Internet qui affiche un captcha avant le lien de téléchargement d'un fichier sera affiché sur leur site. Le captcha de Megaupload est probablement l'un des plus faciles à reconnaître et de compléter. Plutôt de lire et remplir inutilement ces captchas, génant pour les utilisateurs qui téléchargent des fichiers à partir de Megaupload régulièrement.
Megaupload auto-fill captcha est un script Greasemonkey pour Mozille Firefox (et d'autres navigateurs compatibles) qui va automatiquement remplir et envoyer le captcha sur Megaupload. Cela signifie que l'utilisateur n'a pas à entrer dans le captcha, ni cliquer sur un bouton pour l'envoyer au serveur Megaupload. Il se sent presque comme s'il n'y avait pas un captcha sur Megaupload du tout.
http://www.khanh-blog.com/article-remplir-automatiquement-le-captcha-de-megaupload—39434214.html

[1] Web Accessibility Initiative : L'initiative sur l'accessibilité du Web ou Web Accessibility Initiative (WAI) fut lancée en avril 1997 par le World Wide Web Consortium (W3C).
La principale mission de la WAI est de proposer des solutions techniques pour rendre le World Wide Web accessible aux personnes handicapées et d'une manière plus générale à toute personne sans nécessiter de prérequis particulier.

FB Antispam - CAPTCHA pour forums

François Daniel Giezendanner — 2016-07-18T03:41:39Z

Le plugin FBCaptcha protège les forums des spams qui envahissent et submergent les bons messages en ajoutant un champs supplémentaire au formulaire de rédaction des commentaires des forums. Pour valider l'envoi d'un commentaire, un panneau de configuration, permet à l'administrateur du site de choisir entre trois type de saisie :

la copie de 4 caractères,
une addition ou
une multiplication.

Sommaire

Description

Le plugin FBCaptcha ajoute un champs supplémentaire au formulaire pour la rédaction des commentaires de forum. Un code de 4 chiffres est généré de façon aléatoire et ce code doit être saisi par le visiteur pour valider la prise en compte de son commentaire.

Si le code ne correspond pas la saisie est proposée de nouveau avec un message avertissant de l'erreur dans le code.

Le système de CAPTCHA est assez rudimentaire, car le code est affiché sous forme d'une image déformée et pourrait être capturé par un robot adapté. Néanmoins il s'est montré très efficace dans des sites qui étaient littéralement submergés par les spams.

Versions 1.2 et 1.2.1

La version 1.2 ajoute un panneau de configuration, où il est possible de choisir entre trois type de saisie :

la copie de 4 caractères,
une addition ou
une multiplication.

Exemple avec une multiplication :

La version 1.2.1 ajoute un lien direct vers le panneau de configuration dans le menu « Configuration », et un choix par défaut si la configuration n'est pas enregistrée.

Suite, détails et compléments

FB Antispam - CAPTCHA pour forums
26 octobre 2013 – par Fabio
http://contrib.spip.net/FB-Antispam-CAPTCHA-pour-forums
http://plugins.spip.net/fbantispam.html

Améliorer la sécurité de son site SPIP

François Daniel Giezendanner — 2016-07-14T10:20:24Z

Cet article aborde le thème de la sécurité du CMS SPIP en présentant 4 plugins qui œuvrent pour assurer la sécurité et 8 articles qui traitent le sujet.

Sommaire

Plugins

Quatre plugins sont particulièrement intéressants pour améliorer la sécurité des sites SPIP :

les dix lame du bloc Sécurité du plugin Le Couteau Suisse
le plugin Notifications
le plugin FB Antispam - CAPTCHA pour forums
le plugin NoSPAM

Patrice Vanneufville a créé le plugin Le Couteau Suisse dont les dix lame du bloc Sécurité nous intéressent vivement ici. il s'agit de :

Ecran de sécurité
Fonctions d'autorisations
Gestion du JavaScript
Limites mémoire
Lutte contre le SPAM
MailCrypt
Mises à jour automatiques
Pas de forums anonymes
Pas de stockage IP
Taille des forums

Dont voici une brève description :

Bloc Sécurité

Lutte contre le SPAM
Tente de lutter contre les envois de messages automatiques et malveillants en partie publique. Certains mots, tout comme les balises en clair , sont interdits : veuillez inciter vos rédacteurs à utiliser les raccourcis de liens SPIP. La configuration de cet outil antiSPAM vous permet facilement de Lister les séquences interdites et éventuellement de bloquer des adresses IPs.
Action rapide : test interactif de ce filtre (messages et/ou adresses IP) et parcours éventuel de la base de données.

—

Ecran de sécurité (toutes versions de SPIP)
L'écran de sécurité est un fichier PHP directement téléchargé sur le site officiel de SPIP, qui protège vos sites en bloquant certaines attaques liées à des trous de sécurité.
Outre la sécurité, cet écran a la capacité réglable de moduler les accès des robots d'indexation aux scripts php, de manière à leur dire de « revenir plus tard » lorsque le serveur est saturé.
En cas de mise à jour officielle, actualisez le fichier distant associé afin de bénéficier de la protection la plus récente.
Fichier distant : facilité de mise à jour et gestion des versions.

—

Gestion du javascript
Pour gérer le javascript dans les articles, trois modes sont disponibles :
jamais : le javascript est refusé partout
défaut : le javascript est signalé en rouge dans l'espace privé
toujours : le javascript est accepté partout.
Attention : dans les forums, pétitions, flux syndiqués, etc., la gestion du javascript est toujours sécurisée.

—

Mises à jour automatiques
Garde un œil sur tous vos plugins. Cet outil vous permet de gérer facilement leurs mises à jour, récupérant notamment le numéro de révision contenu dans le fichier svn.revision et le comparant avec celui trouvé sur zone.spip.org. La liste proposée offre la possibilité de lancer le processus de mise à jour automatique de SPIP sur chacun des plugins préalablement installés dans le dossier plugins/auto/.
Cet outil vous informe également des différentes versions officielles disponibles pour SPIP lui-même.

—

MailCrypt
Masque tous les liens de courriels présents dans vos textes en les remplaçant par un lien Javascript permettant quand même d'activer la messagerie du lecteur. Cet outil antispam tente d'empêcher les robots de collecter les adresses électroniques laissées en clair dans les forums ou dans les balises de vos squelettes.

—

Citations bien balisées
Afin de respecter les usages en HTML dans les contenus SPIP de votre site (articles, rubriques, etc.), cet outil remplace automatiquement les balises par des balises quand il n'y a pas de retour à la ligne.

—

Taille des forums
Par défaut les messages de forum ne sont pas limités en taille. Si cet outil est activé, un message d'erreur s'affichera lorsque quelqu'un voudra poster un message d'une taille supérieure à la valeur spécifiée, et le message sera refusé.

—

Pas de stockage IP
Désactive le mécanisme d'enregistrement automatique des adresses IP des visiteurs de votre site par soucis de confidentialité : SPIP ne conservera alors plus aucun numéro IP, ni temporairement lors des visites (pour gérer les statistiques ou alimenter spip.log), ni dans les forums (responsabilité).

—

Pas de forums anonymes
Incite tous les auteurs de messages publics à remplir (d'au moins d'une lettre !) le champ « Votre nom (ou pseudonyme) :» afin d'éviter les contributions totalement anonymes.
Cette fonctionnalité utilise la librairie jQuery.

—

Limites mémoire
Taille maximale des images, des logos et des documents. Afin d'alléger la mémoire de votre serveur, SPIP vous permet de limiter les dimensions (hauteur et largeur) et la taille du fichier des images, logos ou documents joints aux divers contenus de votre site. Si un fichier dépasse la taille indiquée, le formulaire enverra bien les données mais elles seront détruites et SPIP n'en tiendra pas compte, ni dans le répertoire IMG/, ni en base de données. Un message d'avertissement sera alors envoyé à l'utilisateur.
Une valeur nulle ou non renseignée correspond à une valeur illimitée.
Espace maximal réservé aux copies locales (SPIP 2.0 mini). Il s'agit ici l'espace maximal réservé aux fichiers distants que SPIP pourrait télécharger (de serveur à serveur) et stocker sur votre site. La valeur par défaut est de 16 Mo.
Calculs d'images avec GD. Afin d'éviter un dépassement de mémoire PHP dans le traitement des grandes images par la librairie GD2, SPIP teste les capacités du serveur et peut donc refuser de traiter les trop grandes images. Il est possible de désactiver ce test en définissant manuellement le nombre maximal de pixels supportés pour les calculs. La valeur de 1 000 000 pixels semble correcte pour une configuration avec peu de mémoire. Une valeur nulle ou non renseignée entraînera le test du serveur.
Qualité de compression (SPIP 2.0 mini). La librairie GD2 permet d'ajuster la qualité de compression des images JPG. Un pourcentage élevé correspond à une qualité élevée.

—

Sessions anonymes (SPIP 2.1 maxi)
Chaque semaine, cet outil vérifie les sessions anonymes et supprime les fichiers qui sont trop anciens (plus de 2 jours) afin de ne pas surcharger le serveur, notamment en cas de SPAM sur le forum.

Plugin FB Antispam - CAPTCHA pour forums

Fabio propose le plugin FB Antispam - CAPTCHA pour forums

Il s'agit d'un simple captcha pour protéger les forums des spams qui envahissent et submergent les bons messages.

Si le code ne correspond pas la saisie est proposée de nouveau avec un message avertissant de l'erreur dans le code.

La version 1.2 ajoute un panneau de configuration, où il est possible de choisir entre trois type de saisie :

la copie de 4 caractères,
une addition ou
une multiplication.

La version 1.2.1 ajoute un lien direct vers le panneau de configuration dans le menu « Configuration », et un choix par défaut si la configuration n'est pas enregistrée.

Plugin NoSPAM

Cerdic propose le plugin NoSPAM pour limiter le risque de spam dans les forums de SPIP. Ce plugin introduit plusieurs mécanismes visant à limiter l'envoi de spams depuis les formulaires de SPIP (forums publics, formulaires de contact, formulaires des pétitions).

Plugin Notifications

Fil a créé le plugin Notifications pour envoyer des mails quand les gens s'expriment dans le forum de l'espace privé, sous un article, ou dans la messagerie personnelle...

Ce plugin permet également de notifier le ou les auteurs d'un article lors de la publication de ce dernier.

Plus précisément, parmi ses diverses fonctions, relevons que ce plugin permet :

Articles publiés
Le plugin notifications sait envoyer des mails :

aux auteurs, lors de la publication de leurs articles.
aux administrateurs restreints, lors de proposition d'articles dans leur rubrique.

Forums publics
Le plugin notifications sait envoyer des mails :

aux auteurs (comme le fait SPIP) lorsqu'un message est posté sous leur article
aux participants d'un fil de discussion, quand quelqu'un parle dans n'importe quel forum public
aux modérateurs

Il respecte le réglage de modération à priori : dans ce cas seuls les modérateurs sont notifiés lors de l'envoi du forum, les autres étant notifiés lors de sa validation.

On se reportera à l'article original pour les autres fonctions concernant les points :

Forums privés
Messagerie
Signatures de pétition
Inscription des rédacteurs

Points clés pour améliorer la sécurité des sites SPIP

Voici plusieurs articles intéressants sur le sujet :

OpenStudio, l'éditeur du logiciel libre Thelia présente 8 points clés pour améliorer la sécurité de votre site SPIP. Cet article très complet et détaillé passe en revue les points suivants :
1. Disposer d'une version de SPIP à jour
2. Vérifier le paramétrage d'Apache
3. Masquer le type de CMS utilisé
4. Mettre en place une politique de sécurité
5. Contrôler l'accès aux documents de IMG
6. Désactiver les squelettes par défaut et plugins inutilisés
7. Être rigoureux dans l'écriture des squelettes
8. Réaliser un audit régulier

—

Le site officiel SPIP spip.net présente l'Écran de sécurité.

L'écran de sécurité est un fichier php unique, qui protège vos sites en bloquant certaines attaques liées à des trous de sécurité. Ce système permet de réagir très rapidement lorsqu'un problème est découvert, en colmatant le trou sans pour autant devoir mettre à niveau tout son site ni appliquer un « patch » complexe.

Philosophie
Lorsqu'elle découvre ou qu'on lui signale un « trou » de sécurité, l'équipe de développement de SPIP s'efforce de corriger le problème au plus vite dans sa version de développement et dans ses versions stables, afin de ne plus diffuser de code fautif.

Cependant, la majorité des utilisateurs n'a pas toujours le temps ou la possibilité de faire la mise à jour, et a tendance à peser le pour et le contre face au risque d'avoir, lors d'une mise à jour même minime, des incompatibilités ou des décalages avec le code testé et validé qu'elle a mis en ligne.

Pour un hébergeur, l'information concernant un problème de sécurité est également à double tranchant : d'un côté il ne souhaite pas laisser de « trou » sur un de ses sites hébergés, de l'autre il n'a pas toujours l'autorisation de modifier les sites. Et les mettre hors-ligne n'est bien souvent pas envisageable, sauf chez les hébergeurs cheap ou paranos.

L'écran de sécurité est là pour répondre à cette problématique. Il s'agit d'un fichier php unique et séparé de SPIP, que l'on peut mettre à jour indépendamment du reste du code, et qui est compatible avec toutes les versions de SPIP, même les plus anciennes.

Ce fichier ne se substitue pas a une véritable mise à niveau de votre version de SPIP, mais il peut permettre de bloquer certaines attaques en attendant une migration propre.

De fait, cet écran peut être activé au niveau du serveur sur l'ensemble des scripts php (SPIP ou pas), et garantit, s'il est à jour, que toutes les failles connues de quelque version de SPIP que ce soit sont impossibles à exploiter. D'où son nom d'« écran » : il se place entre le visiteur et SPIP, et vérifie que le visiteur n'est pas en train d'essayer d'exploiter une attaque connue.

Lorsqu'une nouvelle faille est découverte, il suffit donc de mettre à jour cet écran pour parer toute attaque via ladite faille ; ça laisse le temps de mettre à jour les scripts SPIP à tête reposée au moment idoine.

—

La liste des articles de mise à jour de sécurité est listée sur la page SPIP-core
Présente toutes les alertes de failles sécurité découvertes et corrigées sur SPIP.

—

Le dernier exemple d'alerte de failles sécurité découvertes et corrigées sur SPIP date du 10 mars 2016 : L'équipe de SPIP-Contrib Mise à jour CRITIQUE de sécurité - Sortie de SPIP 3.1.1, SPIP 3.0.22 et SPIP 2.1.29. en voici la teneur :

Deux failles de sécurité ont été découvertes récemment dans SPIP :

une faille critique permettant l'injection de code PHP (merci à g0uZ et sambecks, team root-me)
une faille secondaire permettant l'injection d'objets par unserialize (merci à Gilles Vincent)

Ces failles sont sérieuses et affectent toutes les versions de SPIP. Il est impératif de mettre à jour votre site SPIP dès que possible.

Pour les sites qui ne peuvent pas être immédiatement mis à jour, il est nécessaire d'installer la version 1.2.4 de l'écran de sécurité qui corrige la faille critique http://www.spip.net/fr_article4200.html

Annonce complète et détails https://blog.spip.net/789

—

Le site Apprendre SPIP - http://spippourlesnuls.fr présente une page intitulée Sécurité - méfiance sur Internet dont la teneur essentielle est :

La première sécurisation porte sur la gestion et l'enregistrement des mots de passe nécessaires aux auteurs : bien sûr, ceux-ci sont enregistrés de façon haschée et salée, ce qui signifie que le mot de passe n'est pas géré en clair (texte dactylographié), mais encodé par une fonction (MD5 et maintenant SHA), avec en plus l'apport d'un grain de sel aléatoire, qui interdit le décodage direct.
Par ailleurs, SPIP propose un système de récupération de son accès privé par l'intermédiaire du mail déclaré à chaque auteur, ce qui reporte la sensibilité d'accès sur ce dernier.

Parmi les failles de sécurité courantes sur le Web, la défiguration est l'une des plus visibles en termes de communication et de buzz, et mise en évidence par le CERTA.

En plus de mises-à-jour du core fréquentes, SPIP dispose désormais d'un programme « ecran de securité » pour protéger des failles XSS...

Un assez bon gage de sécurité de ce CMS, souvent choisi par des experts, peut s'en déduire quand on s'aperçoit qu'un nombre important de sites de sécurité sont sous SPIP : spyworld-actu.com/..

Mais assez souvent, on constatera une attaque indirecte, c'est-à-dire que ce n'est pas le site lui-même qui est compromis, mais une machine cliente, souvent celle utilisée pour des mises-à-jour, qui se fait voler les accès FTP : voir Des cas..... résolus ! PHP5.

—

Le site cimarronweb.com présente une page dédiée à la sécurité intitulée Sécurité des sites SPIP - mise à jour de sécurité. elle traite les questions de :

L'écran de sécurité
La mise à jour des plugins via la lame « Mise à jour automatique » du plugin Le couteau suisse.

—

Dans son artilce Réglages de sécurité pour SPIP , Philippe Giron aborde :

Le problème du spam et propose d'utiliser le plugin NoSpam.
Le plugin Notification
Le bloc Sécurité du plugin Le couteau suisse qui aujourd'hui présente les lames :
1. Ecran de sécurité
2. Fonctions d'autorisations
3. Gestion du JavaScript
4. Limites mémoire
5. Lutte contre le SPAM
6. MailCrypt
7. Mises à jour automatiques
8. Pas de forums anonymes
9. Pas de stockage IP
10. Taille des forums

—

Cerdic aborde La sécurité en traitant les thèmes :

Qu'est-ce que la sécurité ?
La problématique actuelle
Politique actuelle
Les injections SQL
La communication

Références webographiques

Plugins

Quatre plugins sont particulièrement intéressants pour améliorer la sécurité des sites SPIP :

Les dix lame du bloc Sécurité du plugin Le Couteau Suisse
Notifications
FB Antispam - CAPTCHA pour forums
NoSPAM

Les dix lame du bloc Sécurité du plugin Le Couteau Suisse
4 mai 2007 – par Patrice Vanneufville
http://contrib.spip.net/Le-Couteau-Suisse#securite
http://plugins.spip.net/couteau_suisse.html
1. Ecran de sécurité
2. Fonctions d'autorisations
3. Gestion du JavaScript
4. Limites mémoire
5. Lutte contre le SPAM
6. MailCrypt
7. Mises à jour automatiques
8. Pas de forums anonymes
9. Pas de stockage IP
10. Taille des forums

Notifications
23 juillet 2007 – par Fil
http://contrib.spip.net/Notifications
http://plugins.spip.net/notifications.html

Notifications avancées
8 novembre 2011 – par RastaPopoulos
http://contrib.spip.net/Notifications-avancees-3981
http://plugins.spip.net/notifavancees.html

FB Antispam - CAPTCHA pour forums
26 octobre 2013 – par Fabio
http://contrib.spip.net/FB-Antispam-CAPTCHA-pour-forums
http://plugins.spip.net/fbantispam.html

NoSPAM
20 novembre 2008 – par Cerdic
http://contrib.spip.net/NoSPAM
http://plugins.spip.net/nospam.html

Points clés pour améliorer la sécurité des sites SPIP

Voici plusieurs articles intéressants sur le sujet :

8 points clés pour améliorer la sécurité de votre site SPIP
Par : OpenStudio, éditeur du logiciel libre Thelia
avril 2012
http://www.openstudio.fr/lab/8-points-clefs-pour-ameliorer-la.html

Écran de sécurité
Août 2009 — mis à jour le : 13 mars
http://www.spip.net/fr_article4200.html

SPIP-core
Présente toutes les alertes de failles sécurité découvertes et corrigées sur SPIP.
http://contrib.spip.net/SPIP-core#pagination_articles

Mise à jour CRITIQUE de sécurité - Sortie de SPIP 3.1.1, SPIP 3.0.22 et SPIP 2.1.29
Dernier exemple en date d'alerte de failles sécurité découvertes et corrigées sur SPIP.
10 mars 2016 – par L'équipe de SPIP-Contrib
http://contrib.spip.net/Mise-a-jour-CRITIQUE-de-securite-Sortie-de-SPIP-3-1-1

Sécurité - méfiance sur Internet
http://spippourlesnuls.fr/?Securite,148

Sécurité des sites SPIP - mise à jour de sécurité
vendredi 23 janvier 2015
http://www.cimarronweb.com/spip.php?article86

Réglages de sécurité pour SPIP
mercredi 14 janvier 2015 par Philippe Giron
http://internet22.catholique.fr/Reglages-de-securite-pour-SPIP

La sécurité
par Cerdic, 4 mars 2006 - Dernière modification de cette page le 3 janvier 2008
http://contrib.spip.net/La-securite