Scénario : 500 soumissions en dix minutes
Il est 14h37. Votre formulaire de contact reçoit une première soumission. Puis une autre. Puis dix, puis cent. À 14h47, votre dashboard affiche 500 nouveaux leads — tous avec des données invalides, tous provenant de la même plage d’adresses IP, tous générés par un script qui tourne en boucle.
C’est une attaque par volume. Elle ne cherche pas à voler vos données. Elle cherche à saturer votre base, à épuiser vos quotas, à noyer vos vrais leads sous un déluge de faux. Sans protection, vous ne vous en rendez compte qu’une fois les dégâts faits.
Ce type d’attaque est banal. Il ne nécessite aucune compétence particulière : un script Python de vingt lignes suffit. La question n’est pas si votre formulaire sera ciblé, mais quand.
Cet article vous explique comment Prospect Hub répond à ce problème, couche par couche — sans bloquer vos vrais clients.
Le rate limiting : le videur à l’entrée
Imaginez un videur devant une boîte de nuit. Il ne regarde pas uniquement si vous avez l’air suspect. Il observe aussi la fréquence : si la même personne essaie d’entrer vingt fois en cinq minutes, quelque chose ne va pas, quelle que soit son apparence.
Le rate limiting fonctionne exactement selon cette logique.
Limitation par adresse IP
Chaque adresse IP a un quota de soumissions autorisées sur une fenêtre glissante. Concrètement : une adresse IP ne peut pas soumettre plus de N formulaires par heure. Si elle dépasse ce seuil, les requêtes suivantes sont rejetées — ou marquées comme suspectes — pendant une durée déterminée.
Cette approche couvre la grande majorité des attaques par volume, car les scripts simples utilisent une seule adresse IP ou une plage restreinte. Un humain, même très rapide, ne soumettra jamais un formulaire vingt fois par heure.
Limitation par clé API
La limitation par IP protège contre les abus externes. La limitation par clé API protège contre les abus internes — ou plus précisément, contre la compromission d’une clé.
Chaque site client dispose de sa propre clé API (pk_xxxxx). Cette clé est associée à un quota global. Si elle est exposée accidentellement dans un code source public ou utilisée de façon abusive, la clé sera bridée avant que l’impact ne devienne critique. Les autres clients ne sont pas affectés ; vos vrais leads continuent d’arriver normalement.
Ces deux niveaux fonctionnent en parallèle. Un attaquant qui contournerait la limite par IP en utilisant plusieurs adresses buterait toujours sur la limite par clé API.
Le dashboard de réputation IP
Le rate limiting est une barrière automatique. Mais toute barrière automatique génère des faux positifs. Un commercial qui teste son propre formulaire en boucle, un outil de monitoring qui vérifie la disponibilité du formulaire, un réseau d’entreprise dont plusieurs employés partagent la même IP sortante : autant de situations légitimes qui peuvent déclencher une alerte.
C’est pour cela que Prospect Hub inclut un dashboard de réputation IP accessible depuis l’interface administrateur.
Ce que vous voyez
La vue liste les adresses IP qui ont déclenché des alertes, avec pour chacune :
- le nombre de soumissions sur la fenêtre de temps
- le score de réputation calculé (combinaison de la fréquence, du User-Agent, du comportement HiveProtect)
- le statut actuel : surveillée, bloquée temporairement, bloquée manuellement
Le bouton “débloquer”
Si vous reconnaissez une IP légitime — un partenaire, votre propre équipe, un outil de test — vous pouvez la débloquer en un clic. Le score est réinitialisé, les soumissions futures de cette adresse sont à nouveau acceptées normalement.
Cette action est tracée dans les logs. Vous savez qui a débloqué quoi, et quand.
HiveProtect : l’empreinte invisible
Le rate limiting analyse les volumes. HiveProtect analyse les comportements.
Lorsqu’un utilisateur charge votre formulaire, un script JavaScript mesure discrètement plusieurs signaux :
Le temps de remplissage. Un humain qui remplit un formulaire met rarement moins de cinq secondes. Il lit les labels, tape son nom, passe d’un champ à l’autre. Un bot qui injecte les valeurs directement dans le DOM met généralement moins d’une seconde — souvent quelques millisecondes.
Les interactions souris et clavier. Un humain déplace sa souris, clique, fait des erreurs, les corrige. Un bot ne génère aucun mouvement souris, aucun événement intermédiaire. HiveProtect mesure la présence ou l’absence de ces événements.
La séquence de focus. Un humain navigue dans l’ordre des champs, parfois revient en arrière. Un bot remplit souvent tous les champs simultanément, sans respecter l’ordre naturel du formulaire.
Ces données ne quittent pas le navigateur sous forme lisible. Elles génèrent une empreinte compressée qui est envoyée avec la soumission. Côté serveur, cette empreinte est décodée et contribue au score final du lead.
Si l’empreinte indique un comportement non humain, le lead est marqué comme suspect — mais pas nécessairement rejeté. Vous restez maître de la décision.
Détection des User-Agents suspects
Un User-Agent est l’identifiant que le client HTTP envoie au serveur pour se présenter. Les navigateurs modernes envoient des chaînes longues et précises (Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36...). Les scripts d’attaque, eux, envoient souvent des User-Agents révélateurs.
Prospect Hub bloque ou pénalise automatiquement les soumissions provenant de :
curletwget(outils en ligne de commande)python-requests,python-urllib(bibliothèques HTTP Python)axios,node-fetchsans contexte navigateur identifié- Chaînes vides ou chaînes génériques (
bot,spider,scraper) - Navigateurs headless détectables (
HeadlessChrome,PhantomJS)
Un navigateur réel n’envoie jamais ces User-Agents. La détection est rapide, peu coûteuse, et filtre une portion significative des attaques automatisées.
Tableau de synthèse : quelle couche bloque quoi
| Type d’attaque | Couche qui intervient |
|---|---|
| Script simple depuis une seule IP | Rate limiting par IP |
| Script distribué avec clé API compromise | Rate limiting par clé API |
| Bot sans User-Agent navigateur | Détection User-Agent |
| Bot rapide avec User-Agent falsifié | HiveProtect (temps de remplissage < 1s) |
| Bot sophistiqué avec délai artificiel | HiveProtect (absence d’interactions souris) |
| Formulaire soumis hors navigateur | HiveProtect (empreinte manquante) + User-Agent |
| Volume faible mais répété dans la durée | Réputation IP (cumul sur fenêtre glissante) |
Aucune couche n’est infaillible seule. C’est leur combinaison qui rend l’attaque économiquement non rentable pour l’attaquant.
Les indicateurs visuels dans le dashboard leads
Chaque lead affiché dans votre pipeline porte des indicateurs de confiance. Un lead propre n’affiche rien de particulier. Un lead suspect affiche des badges colorés qui vous indiquent ce qui a été détecté :
- IP suspecte : l’adresse IP avait un score de réputation dégradé au moment de la soumission
- Comportement bot : l’empreinte HiveProtect indique un remplissage non humain
- User-Agent invalide : la requête provenait d’un client HTTP non navigateur
- Rate limit atteint : la soumission a été acceptée malgré un dépassement de quota (mode dégradé)
En cliquant sur un lead, vous accédez au détail complet : score de chaque signal, valeur du User-Agent reçu, temps de remplissage mesuré, statut de l’IP au moment de la soumission. Rien n’est opaque.
Cette transparence est essentielle pour calibrer votre confiance dans les leads entrants et prendre des décisions éclairées — notamment sur les leads qui méritent un traitement prioritaire versus ceux qui doivent être vérifiés manuellement.
Pour aller plus loin
Le rate limiting et la réputation IP sont deux des neuf couches de protection que Prospect Hub met en place sur chaque formulaire. Si vous souhaitez comprendre l’ensemble du dispositif, lisez notre article sur les 9 couches de protection antispam.
Pour une comparaison technique entre honeypot, CAPTCHA et protection comportementale, consultez notre comparatif anti-bot. Et si vous n’avez pas encore connecté votre formulaire à Prospect Hub, le guide d’intégration vous accompagne étape par étape.
Enfin, pour comprendre pourquoi les protections classiques ne suffisent plus face aux bots modernes alimentés par l’IA, notre article sur le spam formulaire et l’IA pose le problème de fond.
Vous voulez tester la protection sur vos propres formulaires ?
Prospect Hub est disponible sans engagement. Connectez votre premier formulaire en moins de cinq minutes et observez en temps réel ce que votre formulaire reçoit réellement — et ce qui est filtré avant d’atteindre votre pipeline.