Publié le par Bernard Lamailloux

Quand votre propre site vous spamme : l’arnaque de l’échange de liens

Un matin ordinaire, vous ouvrez votre boîte mail et vous trouvez… un message de vous-même. Votre nom, votre adresse, et une proposition d'échange de liens. Un mauvais rêve… mais en réalité un phénomène très répandu — et parfaitement évitable. Ce désagrément m'est arrivé. Ce que je ne savais pas encore, c'est que la source du problème était mon propre formulaire de contact WordPress.

La surprise du matin

Tout a commencé de façon anodine. En ouvrant ma boîte Gmail, j'y trouvais régulièrement des messages dont l'expéditeur n'était autre que… moi-même. Mon prénom, mon nom, mon adresse Gmail. Et à chaque fois, le même type de proposition : "Bonjour, je souhaiterais vous proposer un échange de liens entre nos deux sites."

Usurper mon identité pour me faire la leçon sur le référencement. Il fallait oser.

Au début, on se pince. On vérifie. On relit. Et puis on comprend — ou plutôt, on commence à soupçonner — que quelque chose se passe qui dépasse largement une simple farce.

Ce qui m'agaçait le plus, ce n'était pas tant la proposition elle-même (l'échange de liens est une pratique SEO d'un autre âge, dont l'efficacité est aujourd'hui très discutable), mais bien l'effronterie de la méthode : usurper mon identité pour me faire la leçon sur le référencement. Il fallait oser.

Et pourtant, ce n'est que la partie visible de l'iceberg.

Les questions qui se bousculent

Face à ce phénomène récurrent, les questions s'accumulent rapidement :

Comment est-ce possible techniquement ? Est-ce que mon compte Gmail a été piraté ? Mon site WordPress est-il compromis ? Et surtout comment mettre un terme à ces messages ?

J'avais déjà abordé ce problème quelques semaines auparavant avec Claude. Et des mesures avaient alors été prises côté formulaire de contact WordPress. Le calme était revenu… brièvement. Car les spams avaient rapidement repris, en semblant même s'intensifier. Il était temps d'aller plus loin.

Le diagnostic : une révélation surprenante

En soumettant à nouveau le problème à Claude et en lui transmettant l'en-tête technique d'un de ces messages suspects, le diagnostic a été immédiat — et inattendu.

Ce n'était pas du "spoofing" classique (usurpation d'adresse réalisée depuis l'extérieur). C'était bien plus retors que ça : les messages étaient envoyés depuis mon propre serveur, par mon propre site WordPress.

L'en-tête révélait en effet :


 De :      Bernard Lamailloux <wordpress@lamailloux.com>
 Signé par : lamailloux.com
 Envoyé par : ice.o2switch.net

Autrement dit, mon site envoyait ces spams à mon insu. L'adresse wordpress@lamailloux.com est l'adresse d'expédition par défaut de WordPress — et des robots l'exploitaient en injectant leurs messages via mon formulaire de contact, malgré la protection "honeypot1" déjà en place. Mon hébergeur o2Switch n'y était pour rien : il faisait son travail normalement, en acheminant des emails qui semblaient légitimes puisqu'ils provenaient bien de ma propre infrastructure.

Voilà qui expliquait pourquoi ces messages passaient les filtres anti-spam : techniquement, ils étaient "propres."

Plan d'action : Colmater le formulaire contact WordPress

Fort de ce diagnostic précis, j'ai pu, sous la houlette de Claude, établir un plan d'action en trois étapes, à appliquer dans l'ordre.

Étape 1 — Colmater le formulaire de contact

C'était la priorité absolue. Mon formulaire Contact Form 7 disposait déjà d'un honeypot (champ invisible destiné à piéger les robots), mais les spambots (robots spammeurs) modernes sont devenus suffisamment sophistiqués pour le déjouer.

Deux actions complémentaires ont donc été menées :

Activation d'Akismet en mode maximal. Akismet est le filtre anti-spam de référence pour WordPress : il analyse chaque soumission de formulaire et bloque automatiquement les messages identifiés comme du spam. Il était présent sur mon installation mais pas pleinement actif. Une clé API gratuite (pour usage personnel et non commercial) suffit à l'activer.

Installation de Zero Spam, un plugin qui ajoute une couche supplémentaire de protection en combinant plusieurs techniques de détection : analyse comportementale, base de données d'adresses IP malveillantes connues, et son propre honeypot. Configuré en mode maximal sur Contact Form 7, il renforce considérablement la barrière.

Étape 2 — Changer l'expéditeur WordPress

Illustration symbolisant l'usurpation d'adresse email via un formulaire de contact WordPress

Tant que WordPress continuait à envoyer ses emails depuis wordpress@lamailloux.com, le problème de fond demeurait. Cette adresse anonyme est une cible facile pour les robots, et elle ne reflète pas une identité crédible.

La solution : installer l'extension WP Mail SMTP et reconfigurer l'expéditeur officiel en contact@lamailloux.com, avec le nom "Bernard Lamailloux." Ce plugin force WordPress à utiliser cette adresse pour tous ses envois (notifications, confirmations de formulaire, etc.), et active en prime le chiffrement TLS et la signature DKIM.

Au passage, j'en ai profité pour désinstaller WPForms Lite, un plugin de formulaires (installé d'autorité par WP Mail SMTP) dont je ne me servais pas et qui constituait une surface d'attaque inutile.

Étape 3 — Durcir la politique DMARC

DMARC est un protocole DNS qui indique aux serveurs de messagerie du monde entier ce qu'ils doivent faire lorsqu'ils reçoivent un email prétendant venir de votre domaine sans en avoir la légitimité.

Ma configuration initiale utilisait la politique p=quarantine (mise en quarantaine). C'est bien, mais insuffisant : les messages douteux atterrissent dans les dossiers "Spam" des destinataires au lieu d'être purement et simplement rejetés.

La modification était simple : passer à p=reject. Tout email qui prétend provenir de lamailloux.com sans être correctement signé est désormais rejeté par les serveurs destinataires — et non plus mis en quarantaine.

Cette manipulation s'est effectuée directement dans l'interface (le cPanel) o2Switch, via un menu déroulant, sans avoir à toucher manuellement aux chaînes d'enregistrements DNS.

Un bilan complet rassurant

À l'issue de cette session de travail, voici l'état des lieux :

  • ✅ Akismet actif en mode maximal
  • ✅ WP Mail SMTP configuré — wordpress@lamailloux.com définitivement éliminé
  • ✅ Expéditeur officiel : contact@lamailloux.com, signé DKIM, chiffré TLS
  • ✅ Zero Spam actif sur Contact Form 7 avec tous les signaux
  • ✅ WPForms Lite désinstallé
  • ✅ DMARC durci : p=reject
  • ✅ Double honeypot actif (CF7 + Zero Spam)

Les robots n'ont pas disparu du jour au lendemain — ils ont leurs propres cycles de tentatives. Mais en quelques jours, la fréquence des messages suspects a chuté de façon spectaculaire. Mon soulagement était bien réel.

Mais pourquoi diable "l'échange de liens" ?

Une fois le problème résolu sur le plan technique, une question demeurait, presque existentielle : pourquoi ces robots s'obstinent-ils à proposer des échanges de liens ? Et pourquoi usurper l'identité du destinataire pour le faire ?

La réponse éclaire un cynisme algorithmique assez fascinant.

La logique SEO derrière l'échange de liens

Dans les années 2000-2010, l'échange de liens était une pratique SEO (Search Engine Optimization) courante. Le principe : "Tu mets un lien vers mon site sur le tien, je fais de même." Google et les autres moteurs de recherche comptaient les liens entrants comme des votes de confiance — plus un site recevait de liens, plus il montait dans les résultats.

Depuis, Google a largement évolué. L'algorithme PageRank — qui mesure la qualité et la pertinence des liens — pénalise désormais les liens artificiels et les échanges massifs. Les SEO professionnels savent que la pratique est devenue risquée, voire contre-productive.

Mais les spambots, eux, ne lisent pas les mises à jour des algorithmes. Ou plutôt : leurs créateurs parient sur le fait que certains destinataires, peu au fait des évolutions du SEO, accepteront encore la proposition. Un taux de succès de 0,1% sur des millions d'envois reste rentable.

Pourquoi usurper votre propre adresse ?

C'est là que réside le vrai cynisme.

Un message qui semble provenir de vous-même a beaucoup plus de chances de passer les filtres anti-spam, pour une raison simple : votre propre adresse email est dans votre carnet d'adresses, dans vos contacts, dans votre historique de messages. Les filtres lui font confiance.

De plus, un destinataire qui voit son propre nom dans l'expéditeur est plus susceptible d'ouvrir le message — par curiosité, par surprise, ou par l'espèce de réflexe conditionné que les psychologues appellent l'orientation vers soi.

L'usurpation n'est donc pas un acte d'humour ni de provocation : c'est un calcul froid et précis pour maximiser le taux d'ouverture et contourner les filtres. Le robot ne "vous connaît" pas — il a simplement identifié votre adresse sur votre site et l'a utilisée comme expéditeur parce que c'est statistiquement efficace.

Le formulaire de contact : une arme retournée

Utiliser votre propre formulaire de contact comme vecteur d'envoi est une autre subtilité de ce cynisme algorithmique.

Les emails envoyés via un formulaire WordPress sont techniquement émis par votre propre serveur. Ils portent votre signature DKIM, ils passent vos propres vérifications SPF. Pour les serveurs de messagerie intermédiaires, ils semblent parfaitement légitimes.

Le bot n'a donc pas besoin de pirater quoi que ce soit. Il suffit de remplir votre formulaire automatiquement, des centaines de fois par jour, depuis des adresses IP différentes. Votre propre infrastructure fait le travail à sa place.

C'est l'équivalent numérique d'un individu qui utilise votre propre papier à lettres pour envoyer des courriers en votre nom — sans jamais mettre un pied chez vous.

Ce que cette expérience enseigne

Au-delà de l'aspect technique, cette aventure illustre plusieurs réalités de la vie numérique contemporaine.

"hackers" en capuche dans des sous-sols sombres.

La première, c'est que les menaces les plus efficaces ne viennent pas de "hackers" en capuche dans des sous-sols sombres. Elles viennent d'algorithmes automatisés, indifférents, qui testent des millions de portes chaque jour en espérant qu'une reste entrouverte. La mienne, en l'occurrence, était le formulaire de contact.

La deuxième, c'est que la sécurité d'un site WordPress est un empilement de couches complémentaires, et non pas une solution unique et définitive. Honeypot seul : insuffisant. Akismet seul : amélioré mais perfectible. La combinaison Akismet + Zero Spam + WP Mail SMTP + DMARC en mode reject, en revanche, constitue un rempart solide.

La troisième, c'est que comprendre pourquoi les spammeurs agissent comme ils le font aide à ne pas se sentir personnellement visé. Lorsque cela vous arrive, vous n'êtes pas une cible choisie — vous êtes une opportunité détectée. Ce qui est, finalement, presque rassurant.

Si vous gérez un site WordPress et reconnaissez dans cet article une situation vécue, les étapes décrites ci-dessus sont applicables à la grande majorité des installations. L'ensemble des plugins mentionnés — Akismet, Contact Form 7, Zero Spam, WP Mail SMTP — sont gratuits pour un usage personnel. La modification DMARC s'effectue depuis votre panneau d'hébergement, sans manipulation DNS manuelle chez la plupart des hébergeurs français.

Précision importante

Soyons honnêtes : pour ce qui concerne tous les sigles et abréviations techniques qui émaillent cet article — DKIM, DMARC, SPF, TLS, et consorts — je serais bien en peine de les définir spontanément avec précision. Ce n'est pas de la fausse modestie : c'est simplement la réalité d'un blogueur autodidacte... Qui administre son site depuis des années sans avoir jamais suivi de formation en sécurité informatique.

Pour cette partie du travail, c'est bien entendu Claude qui a pris la parole — et je la lui ai laissée bien volontiers. Mon rôle a été de tâcher de poser les bonnes questions, de suivre les étapes proposées, de vérifier que ça fonctionnait… et de venir témoigner ici. Le reste, c'est lui. Comme l'indique la mention en bas de page, cet article est le fruit d'une collaboration humain-IA assumée et revendiquée — et franchement, je n'en suis pas peu fier.

  1. Un honeypot (littéralement "pot de miel") est un piège discret intégré dans un formulaire web : un champ invisible à l'œil humain, mais que les robots de spam remplissent machinalement parce qu'ils parcourent tous les champs sans discrimination. Dès qu'un envoi arrive avec ce champ renseigné, le système sait qu'il a affaire à un robot et rejette le message. Simple et élégant — mais de plus en plus contourné par les spambots modernes, comme notre expérience l'a montré. ↩︎

UTILISATION DE L'IA

IA, Interface homme - machine, deux mains (l'une humaine, l'autre robotique) se rejoignent...

L'élaboration de cet article a bénéficié d'un processus créatif hybride alliant l'expertise humaine et les capacités d'une intelligence artificielle, qui m'a épaulé dans les tâches de recherche, de rédaction et de peaufinage.

Filet séparateur
Portrait Bernard Lamailloux (façon BD)

Si cet article vous a plu, venez donc consulter d'autres articles de la catégorie 'blogging'

Le Petit Abécédaire...

Livre "Petit abécédaire de développement personnel à l'usage des formateurs et enseignants", par Bernard Lamailloux

"Un ouvrage bien documenté, écrit par quelqu'un qui sait de quoi il parle et qui le fait avec clarté humour et éthique. Les exemples et les conseils sont judicieux et très utiles. Je le recommanderai avec plaisir.."

Josiane de Saint Paul

Quel livre ! Un travail de moine. D'une grande originalité. J'ai à peine commencé à le parcourir et, déjà, je le savoure. Je vais d'ailleurs continuer à le déguster lentement. Bravo !

Serge Marquis

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *