Tentative d'injection par formulaire

Karen · Novembre 15, 2025, 1:01

Bonjour la communauté,
J’ai plusieurs sites clients sous SPIP, dont les dernières mises à jour du CMS et des plugins dataient de la sortie de 4.4.5.

Constatant ce qui suit, je viens de faire la mise à jour 4.4.6 et celle des plugins API de vérification / Formidable / Saisies pour formulaire.
(Autre chose étrange au passage : je n’ai pas la mention de mises à jour dispo pour ces 3 plugins sur ma version locale, jumelle de celle en prod ??!!)

Voici ce qui m’alerte et que je souhaite signaler, si ça vient d’une faille de sécurité, et/ou demander de l’aide (on verra si ça continue après la mise à jour de ce midi).

Depuis le 13/11 sur mon propre site, j’ai reçu une douzaine de messages via le formulaire Formidable, émanant de différentes adresses gmail, comcast ou yahoo avec ce genre de remplissage des champs : LMceFAmeXEAyzhCAqbLSWREf

Évidemment ça me met la puce à l’oreille et j’ai regardé les logs, même si je n’y connais pas grand chose sur ces questions, j’y constate plusieurs tentatives de connexion échouées et ce genre de truc (dans spip.log) :

2025-11-14 22:10:58 185.21.13.119 (pid 44214) :Pub:!INFO: {"post":{"var_ajax":"form","formulaire_action":"formidable","formulaire_action_args":"rTNlPfUp5pbP\/f0dxChN\/AewgTS\/d01PzEb3EBODT57ZjhQA0lJZkEOwWW3KNcZ7IE9hcOCB9GILIf02XB5pE93CCdOPSBy6bHMx23rY9L4Xb7yljA==","formulaire_action_sign":"","id_formulaire":1,"formidable_afficher_apres":"valeurs","_jeton":"4e2fe24225469da0d1e423a7363e3043bf1055a512b42259acd944eb1d315233","bigup_retrouver_fichiers":"*:1763154646:284f4c3f46d1e3534077f3a0b7b1ce3170c3c7f378193f7abd003c11d02c2f9f","email_1":"amk_llc@comcast.net","input_2":"nSjnoCROrctMQvCztzN","email_nobot":"","input_3":"oiRCykoNCjvqMbzbPZBZNDN","textarea_1":"VrkUjUJVWWuLtSloNNv","case_1":"on","mechantrobot":""},"files":[]}

Je peux fournir les logs complets si nécessaire, je souhaite surtout signaler une éventuelle faille, et demander des conseils sur ce que je devrais faire.

D’avance merci et bon week-end à tous.

choucas · Novembre 15, 2025, 2:10

Bonjour,
cela ressemble à ceci

Clt

maieul · Novembre 15, 2025, 3:04

(Autre chose étrange au passage : je n’ai pas la mention de mises à jour dispo pour ces 3 plugins sur ma version locale, jumelle de celle en prod ??!!)

Les infos de mise à jour sont actualisés via le cron de SPIP, qui est enclenché lors des visites. Donc assez logique que le local soit en decalage (possibilité de forcer le passage du cron via Maintenance > Taches de fond

Depuis le 13/11 sur mon propre site, j’ai reçu une douzaine de messages via le formulaire Formidable, émanant de différentes adresses gmail, comcast ou yahoo avec ce genre de remplissage des champs : LMceFAmeXEAyzhCAqbLSWREf

Oui c’est un nouveau phenomène de SPAM dont je ne m’explique pas trop la raison. Voir le sujet pointé par choucas pour des manières de limiter.

Pour le reste, je ne pense pas que cela puisse injecter quoi que ce soit (bien que cela puisse être une tentative), formidable sanitizan les champs.

Karen · Novembre 15, 2025, 3:59

Merci pour ta réponse Maïeul

Alors je ne vois pas de Choucas dans le lien que tu as fourni, du coup je ne sais pas quelle solution est à appliquer parmi les différentes solutions proposées.
Ce qui me rassure, c’est que, hormis la pollution, ça ne semble pas plus inquiétant (pour le moment )

Enfin, super, je ne savais pas, mais en effet, passer par le CRON a permis d’afficher lesdites mis à jour des plugins en local

Bon, ça fait 2 ans que je me dis qu’avec les IA, ça va devenir tellement facile de trouver les failles dans les sites, que ça ne rend pas très serein dans nos métiers… mais bon, avant de crier au loup (et je préférais signaler le truc que je n’avais pas trouvé dans les signalements récents), il semble que ça ne soit qu’une tentative d’injection sans conséquence – grâce à votre formidable travail à toute l’équipe de SPIP, encore un grand – rien de nouveau au final côté tentatives d’injections…

Je reste donc avec une question : qui est Choucas, et quelle est sa solution magique

Encore merci !

maieul · Novembre 15, 2025, 4:22

Je remet le lien de la réponse de choucas

choucas · Novembre 15, 2025, 6:24

Bonjour,

lire les interventions dans leur ordre chronologique
cliquer sur le lien proposés par choucas
lire attentivement le fil de discution
en tirer les conclusions qui s’imposent
au cas où une étape est sautée, lire et relire l’intervention de maieul
revenir à l’intervention de choucas et reprendre à ce niveau
Etc.
Bonne lecture

Clt

Benitron · Novembre 17, 2025, 8:58

Salut,
je confirme que saisie_captcha_addition marche bien. Plus de problème depuis que je l’ai installé.

Cependant, j’ai remonté quelques trucs sur la dernière version (que je n’ai pas encore modifié, car je suis en attente de validation de réponse ici au préalable).

1-La version 1.0.2 (à installer en manuel) indique une alerte et ne s’installe pas :

La plugin Captcha Addition (Saisies) dépend du plugin .
La plugin Captcha Addition (Saisies) dépend du plugin .
Ceci est résolu en modifiant * par x dans paquet.xml

Original

  <necessite nom="saisies" compatibilite="[5.0.*;[" />
  <necessite nom="verifier" compatibilite="[3.6.*;[" />

Modification

  <necessite nom="saisies" compatibilite="[5.0.x;[" />
  <necessite nom="verifier" compatibilite="[3.6.x;[" />

2-« Votre réponse » dans le cadre de réponse montre à peine « Votre rép », ce qui selon les langues peut ne pas être compréhensible. on pourrait le passer en 100% ?

CSS original

.saisie_captcha .captcha-input input[type="text"] {
  width: 96px;

Modification proposée

.saisie_captcha .captcha-input input[type="text"] {
  width: 100%;

3-Aligner la question avec la réponse « Votre réponse » passe mieux à l’œil à mon avis.

CSS original

.saisie_captcha .captcha-input {
  grid-area: input;
  display: flex;
  align-items: flex-end;

Modification proposée

.saisie_captcha .captcha-input {
  grid-area: input;
  display: flex;
  align-items: center;

4-Je trouve que ça fait un peut bizarre d’avoir la question en tutoiement et la réponse en vouvoiement. Accordez les deux me semble plus cohérent.

Langue original

    'label_resoudre'       => 'Résous l’addition anti-robot',

Modification proposée

    'label_resoudre'       => 'Résolvez l’addition anti-robot',

Merci pour ce plugin qui fait trop plaisir en tout cas.

Topette !

Karen · Décembre 3, 2025, 10:48

Bonjour à tous !

Je reviens un peu tard car j’ai été obligée de laisser tout ça de côté, même si ça commence à devenir prioritaire ! Et pardon pour la confusion Choucas / Maïeul l’autre jour, il y avait de la fatigue dans l’air

Donc je reviens avec une question / piste à partager… Comme il semble qu’on est tous bien envahis actuellement, j’ai échangé avec un confrère développeur sous WP qui m’a retourné que la meilleure solution trouvée actuellement, bien pensé UX, serait Cloudflare Turnstile. Je suppose que vous connaissez, est-ce que c’est une piste intéressante pour la communauté SPIP ?

Je n’ai malheureusement pas les compétences pour l’implémenter sur SPIP / Formidable, mais pensez-vous que ce soit possible (et simple) ?

Pour le moment, je n’ai pas encore agi du côté de saisie_captcha_addition pour 2 raisons :
– Comme ça s’est calmé sur mon propre site, préférant la méthode Honeypot au Recaptcha pour être plus light côté utilisateur, j’ai attendu en espérant que ça se calme partout, mais je crois qu’il ne faut pas rêver ! (J’ai un site client bien envahit qui a pris le relai là où moi je n’en reçois plus).
– Je suis allée voir le plugin saisie_captcha_addition ici et je ne suis pas sûre de suivre : y a-t-il un lien pour télécharger tout le dossier du plugin ou il faut télécharger les fichiers un par un ? Je n’ai pas vu de dossier entier à télécharger, j’ai bien cherché avant d’écrire ceci Est-ce que c’est prévu qu’il rejoigne la liste des plugins « prêt à l’emploi » ? Mais à la limite ça c’est secondaire…
Là où je suis plus dans le flou, c’est à propos de la mention : Dans Formidable, ajouter une nouvelle saisie → « Captcha addition »
Je ne suis pas sûre d’avoir la marche à suivre…

Bonne journée et toujours un grand merci pour vos travaux partagés !

b_b · Décembre 3, 2025, 11:34

Plutôt que de se tourner vers des grosses boites comme recaptacha & cloudfare, peut-être que ça vaudrait le coup de jeter un œil à Captcha et protection contre les bots nouvelle génération, conforme au RGPD | ALTCHA

maieul · Décembre 3, 2025, 8:15

oui c’est prévu. je sais que @nicod notamment voulais faire 2/3 bricoles dessus avant de le proposer en « prêt à l’emploi ».

En attendant tu peux installer manuellement en telechargeant le zip (gros bouton bleu « code ») puis en le mettant dans ton dossier plugin,

grosso modo, une fois que ton plugin sera activé, tu auras une nouvelle saisie disponible « captcha addition ».

Karen · Décembre 4, 2025, 11:56

Merci beaucoup Maïeul pour ce retour et ces éclaircissement !
J’avais regardé partout pour le téléchargement intégral… sauf dans « Code »
Ensuite je devrais m’en sortir facilement pour l’installer à la main, quant à la saisie « Captcha addition » je pense que c’est devenu clair.

Super que le plugin arrive bientôt

Enfin, pas de solution sans ennuyer le visiteur avec une manip type Captcha (il y a déjà les cookies et RGPD qui nous ennuient tous…) ? NoSpam était vraiment top en méthode « honeypot » !
Mais bon, vous faites déjà un boulot partagé tellement fantastique que je ne vais pas me plaindre du haut de mon ignorance à développer ce genre de trucs

Merci

maieul · Décembre 4, 2025, 5:22

Nospam est deja branché sur formidable hein. Et formidable à son propre pot de miel complémentaire. Juste parfois cela ne suffit pas.

maieul · Décembre 4, 2025, 5:22

Et la meilleur solutin pour ne pas embeter les gens avec une bannière de cookies, c’est de ne pas utiliser de cookies

Karen · Décembre 4, 2025, 6:12

Oui je sais pour NoSpam, c’est juste qu’en effet, malheureusement, ça ne suffit plus actuellement…

Quant aux cookies, je suis bien d’accord mais quand les clients veulent des Google Analytics ou ont des vidéos hébergées sur Youtube, on n’a pas trop le choix

maathieu · Décembre 5, 2025, 7:47

C’est un autre sujet, mais j’ai déjà réussi plusieurs fois à convaincre des clients / partenaires / employeurs de ne pas utiliser Analytics… Il y a des solutions alternatives pour suivre la vie d’un site, qui respectent la vie privée de leurs utilisateurs. Si le propriétaire du site n’utilise pas AdWords pour faire venir du trafic sur son site, la valeur ajoutée de Analytics est très limitée comparée au bénéfice d’avoir un site qui s’ouvre tout seul sans avoir besoin de cliquer sur une bannière cookies, et certaines personnes peuvent être sensibles à cet argument. Enfin ça se tente .

1138 · Mars 12, 2026, 4:19

Bonjour.

Où faut-il mettre le code proposé dans la section S’assurer que l’internaute recharge la page avant de lancer l’action de l’article sur NoSPAM ? Et est-ce que ça ne risque pas de bloquer les éventuelles personnes qui n’utilisent pas Javascript ?

Comme d’autres, depuis plusieurs mois, je reçois plein de spam dans mes formulaires Formidable, mais aussi pour l’inscription à la newsletter (33 hier, heureusement bloqués par le double opt-in) et cette astuce m’intéresse. Fonctionne-t-elle aussi pour Formidable et Mailsubscribers ?

Pour Formidable, je vous partage quand même une astuce :

Comme le dit Karen, les champs (hors e-mail) sont remplis de chaines faites majuscules et minuscules, du style fbXeDmNDZPANcUHIbb. Donc, si j’ai un champ obligatoire pour un code postal ou un numéro de téléphone, j’oblige que la réponse contienne au moins un chiffre.

En pratique, dans la configuration du champ, onglet « Validation », « Vérification(s) à effectuer », je choisis « Expression régulière ». Et dans « Masque à tester », je mets /\d+/
Dans « Message d’erreur si la vérification échoue. », j’ajoute un massage du genre Doit contenir au moins un chiffre.<br/>(Protection antispam. Si votre code postal ne contient pas de chiffre, veuillez indiquer le bon dans les commentaires en bas de formulaire.) (parce que, oui, je laisse toujours un bloc de texte pour des commentaires éventuels). Si c’est un numéro de téléphone, je mets simplement Doit contenir au moins un chiffre. (Protection antispam.)

C’est radical ! Et j’espère que ça pourra aider des gens.

(Mais je vais aussi tester le plugin Saisie captcha addition, pour quand je n’ai pas de champ comme ça.)

maieul · Mars 12, 2026, 4:34

Si bien sûr cela va bloquer les personnes sans javascript. Et cela peut aussi bloquer certains traitements formidable.

Raison pour laquelle elle n’est pas encore implémenté dans formidable, car cela nécessite du temps pour bien tester les choses.

nicod · Mars 12, 2026, 8:13

J’aimerais bien l’intégrer, si j’avais du temps.
Peut être pendant la semaine en colloc ?
Faudrait se noter une liste d’activités de vacances tiens

maieul · Mars 13, 2026, 9:59

A noter que pour l’inscription à des listes, si on passe par formidable mailsubscriber plutot que par le formulaire par défaut, celui-ci gère DEJA cela par défaut en action post souscription.

Le problème actuellement c’est que c’est défini au car pas cas par certains traitements, mais qu’il faudrait que ce soit gérer directement par formidable. Et ca demande pas mal de refactorisation, modifcation de code, pour un code qui est deja bien complexe.