<aside> ⌛ Temps indicatif : 15mn
</aside>
Aider les parties prenantes (Product, Tech, Client) à faire un choix éclairé pour sécuriser un formulaire public, en fonction du niveau d’exposition, du contexte métier, et de la tolérance à la friction utilisateur.
Un formulaire public (inscription, demande de contact, etc.) est une porte d’entrée directe sur une application. Sans protection, il peut être utilisé par des bots pour :
| Solution | Expérience Utilisateur | Efficacité | Coût externe | Commentaire |
|---|---|---|---|---|
| reCAPTCHA v3 (invisible) | 🟢 Invisible | 🟢 Bloque les bots avancés | 0€ (1M requêtes/mois) | Peut rejeter de vrais utilisateurs si utilisé seul |
| reCAPTCHA v2 (case à cocher) | 🟡 Peut être frustrant et moche | 🟢 Bloque la majorité des bots | 0€ | Parfois bloquant sur mobile ou avec adblock |
| Challenge interactif (glisser-déposer, question personnalisée) | 🟡 Moyenne | 🟢 Bloque les bots non IA | 0€ | Pas très courant, plus utilisé sur des apps métiers |
| Validation par SMS | 🔴 Très intrusif | 🟢 Très efficace | 💰 Coût SMS (~0.05€/SMS) | À réserver à des cas sensibles ou des apps critiques |
| Authentification par OAuth (Google, Facebook, Apple) | 🟢 Fluide | 🟢 Très efficace | 0€ | Peut exclure les utilisateurs sans compte |
| Validation par eID (FranceConnect, eIDAS) | 🔴 Très intrusif | 🟢 Extrêmement fiable | 0€ | Nécessite une accréditation officielle. |
| Solution | Expérience Utilisateur | Efficacité | Pourquoi ce n’est pas recommandé seul |
|---|---|---|---|
| Honeypot (champ caché) | 🟢 Invisible | 🟡 Faible | Contournable facilement par des bots modernes |
| Limitation IP | 🟢 Invisible | 🟡 Faible | Inefficace contre VPN, NAT ou botnets |
| Double opt-in email | 🟡 Moyenne | 🟡 Moyenne | ça remplit quand même la base et ça empêche pas de se faire flooder la base. C’est plutôt utile pour valider qu’une adresse email fonctionne |
| Authentification par OAuth (Google, Facebook, Apple) | 🟢 Invisible | 🟢 Très efficace | Quid des gens qui voudraient s’inscrire sans ça ? |
| Contexte | 🟡 Recommandation minimale | 🟢 Option optimale |
|---|---|---|
| App de production (formulaire public accessible) | reCAPTCHA v3 (minimum) ou v2 | reCAPTCHA v3 + fallback v2 si score faible |
| Formulaire stratégique (onboarding client, accès à une démo, essai gratuit…) | reCAPTCHA v2 | reCAPTCHA v2 + validation email ou OAuth |
| Portail institutionnel (usagers identifiés) | OAuth ou rien (si canal fermé) | FranceConnect ou eIDAS |
| MVP / formulaire interne ou peu exposé | Rien (si c’est un choix assumé) | reCAPTCHA v2 (plutôt que bricoler avec honeypot/IP) |