Qu’est-ce que reCAPTCHA ?
L’acronyme anglais CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) désigne le test de Turing permettant de faire la distinction, de manière entièrement automatisée, entre humains et ordinateurs. Un CAPTCHA protège les sites Web contre les spams et les bots en demandant aux internautes de réaliser un test conçu pour être facile pour un être humain, mais difficile pour un bot automatisé. Les CAPTCHA assurent la vérification et la sécurité des sites Web, applications et autres services électroniques.
Le reCAPTCHA de Google ne se contente pas de prouver que vous êtes un véritable être humain. Il vise également à contrecarrer les tactiques malveillantes, comme le bourrage d’identifiants, une pratique dans laquelle les pirates informatiques utilisent des listes de noms d’utilisateur et de mots de passe compromis pour tenter d’accéder aux comptes d’utilisateurs sur d’autres sites.
L’histoire de reCAPTCHA
reCAPTCHA a été conçu en 2007, comme outil de numérisation de livres. On montrait à des utilisateurs du texte qu’un ordinateur n’était pas capable de reconnaître et on leur demandait de saisir ce qu’ils voyaient. En 2009, Google achète reCAPTCHA et commence à l’utiliser pour améliorer la sécurité Internet. Aujourd’hui, ce service est couramment utilisé en matière de vérification, afin de protéger contre les spams et les bots, et est un outil important pour maintenir la sécurité et l’intégrité des systèmes en ligne.
reCAPTCHA, v2, v3 : quelle est la différence ?
reCAPTCHA utilise la reconnaissance d’image, la reconnaissance audio, l’analyse comportementale et l’apprentissage automatique pour déterminer si l’utilisateur est humain ou non. C’est le service le plus populaire, installé sur des millions de sites, avec plus de 97 % de parts de marché.
Actuellement, il existe deux versions de reCAPTCHA :
- reCAPTCHA v2 exige que les utilisateurs résolvent un problème (ou défi) ou cliquent sur une case à cocher. Il permet aux propriétaires de sites Web de personnaliser la présentation et le fonctionnement du problème à résoudre.
- reCAPTCHA v3 fonctionne en arrière-plan et ne nécessite aucune interaction. Il génère un score basé sur des facteurs tels que le comportement de l’utilisateur, l’heure de la journée et d’autres informations contextuelles.
Fonctionnement de reCAPTCHA
Un site utilisant reCAPTCHA comprend un petit code (un « script ») qui gère le processus de défi-réponse. Tandis que l’utilisateur interagit avec le défi, reCAPTCHA collecte des données sur son comportement, telles que la frappe sur le clavier, le mouvement et la synchronisation de la souris, et l’historique de navigation.
Le script communique avec le serveur de Google via une clé secrète pour chiffrer la communication. La clé secrète est unique à chaque site Web et est générée lorsque le propriétaire du site Web configure reCAPTCHA.
Les algorithmes de Google comparent les données avec les comportements humain et bot connus et peuvent demander à l’utilisateur de relever des défis supplémentaires ou bloquer son accès.
Intelligence artificielle (IA) et reconnaissance de modèles
La technologie reCAPTCHA utilise l’IA pour procéder à une analyse avancée des risques avec chaque nouvel utilisateur du site, en évaluant des éléments tels que l’adresse IP, les informations sur le navigateur et l’appareil, ou encore l’historique de navigation. reCAPTCHA attribue ensuite un score de risque. Un score de risque faible indique une forte probabilité que l’utilisateur soit humain, tandis qu’un score de risque élevé suggère qu’il peut s’agir d’un bot. Si le programme suspecte un bot ou a besoin de plus d’informations, il demande à l’utilisateur d’effectuer un test reCAPTCHA.
Types de tests reCAPTCHA
Les tests CAPTCHA se présentent sous de nombreuses formes et ont été adaptés pour devenir plus sophistiqués, plus difficiles à tromper et moins intrusifs. Le type de reCAPTCHA dépend de divers facteurs, dont les paramètres de sécurité du site, le contexte et le type d’activité.
SMS
Le visiteur du site Web voit une série de lettres et de chiffres qui ont été déformés ou partiellement masqués et il lui est demandé de les saisir dans le même ordre.
Reconnaissance d’image
L’utilisateur voit des images déformées, recadrées ou partiellement masquées et doit sélectionner celles qui correspondent à une description spécifique ; par exemple, des images contenant des panneaux de signalisation ou des véhicules.
Case à cocher
Parfois appelée « reCAPTCHA sans CAPTCHA », cette méthode demande simplement aux utilisateurs de cocher une case pour confirmer qu’ils ne sont pas des robots. Google utilise des informations contextuelles, telles que l’adresse IP de l’utilisateur et les données du navigateur, pour vérifier qu’il s’agit d’un utilisateur humain.
Évaluation du comportement des utilisateurs
Souvent, il n’y a aucune case à cocher ni aucun défi CAPTCHA. Dans cette version « invisible », le système effectue le processus de vérification automatiquement et la case à cocher n’apparaît que si Google soupçonne qu’il s’agit d’un bot. Cela rend l’expérience utilisateur plus fluide et moins intrusive.
Avantages et inconvénients de reCAPTCHA
Il est utile d’examiner les avantages et les inconvénients de reCAPTCHA pour déterminer s’il vous correspond.
Avantages
Confidentialité renforcée
Bien que reCAPTCHA soit principalement conçu pour améliorer la sécurité, il peut également contribuer à améliorer la confidentialité en empêchant l’accès non autorisé à des informations sensibles, telles que les coordonnées de vos clients.
Limite les faux utilisateurs
Le volume de fraude sur Internet n’est un secret pour personne. L’utilisation du service reCAPTCHA permet de s’assurer que les internautes capables de résoudre le défi sont les visiteurs que vous souhaitez.
Filtre automatiquement les commentaires des utilisateurs
Offrir aux clients la possibilité de laisser des avis ou des commentaires sur des publications de réseaux sociaux peut être un excellent moyen de renforcer l’engagement client. Mais le filtrage manuel des commentaires abusifs et des spams demande beaucoup de travail.
Service gratuit pour les petites entreprises
Le reCAPTCHA de Google est un service gratuit pour toute entreprise effectuant moins d’un million de contrôles de sécurité par mois. Au-delà, Google a lancé reCAPTCHA Enterprise pour aider les clients de plus grande envergure à se prémunir contre les spams et les abus.
Inconvénients
Interaction supplémentaire avec l’utilisateur
Vous voulez rendre l’expérience de vos visiteurs aussi simple et fluide que possible, et le fait de devoir résoudre un défi de vérification ajoute un ou deux obstacles supplémentaires sur ce parcours.
Difficultés en matière d’accessibilité
Les personnes malvoyantes peuvent trouver les CAPTCHA difficiles. Les dernières versions comprennent une option audio qui permet d’écouter un enregistrement et de répondre verbalement.
Erreurs de jugement
Aucun système n’est parfait. Lorsque des personnes sont identifiées à tort comme des bots, par exemple, elles peuvent devoir passer par des étapes supplémentaires pour avancer ou voir leur accès entièrement bloqué.
Favorise les utilisateurs de Google
Bien que reCAPTCHA appartienne et soit exploité par Google, il peut être utilisé par n’importe quel site Web ou application. Cependant, il fonctionne en déterminant si vous avez des cookies Google sur votre navigateur. Ainsi, un utilisateur connecté à un compte Google peut trouver reCAPTCHA plus fluide et plus facile qu’un internaute n’utilisant pas Google.
Les bots s’améliorent
Inévitablement, les acteurs malveillants améliorent constamment leur capacité à contourner les services de vérification. Bien que reCAPTCHA s’efforce de garder une longueur d’avance, aucun système n’est parfait et des pirates ingénieux parviennent parfois à le mettre en échec.
Alternatives pour les utilisateurs de reCAPTCHA
Bien que le programme de Google détienne la majorité des parts de marché, il n’est pas le seul à utiliser la vérification CAPTCHA pour protéger les sites Web contre la fraude. Voici d’autres options :
- Akismet : si votre site Web a été conçu sous WordPress, vous pouvez opter pour ce plug-in qui utilise des algorithmes d’apprentissage automatique pour identifier et bloquer les commentaires indésirables.
- BotDetect : technologie CAPTCHA polyvalente, ce programme permet aux utilisateurs de personnaliser le défi et l’apparence des formulaires de la manière la plus logique pour leurs clients.
- KeyCAPTCHA : cette technologie CAPTCHA utilise des puzzles interactifs pour vérifier l’identité au lieu de la reconnaissance classique des lettres et des chiffres.
- hCaptcha : ce programme a été développé pour une meilleure accessibilité aux personnes handicapées. Il comprend une série de défis, comme la reconnaissance d’image, la reconnaissance audio et les puzzles interactifs. Il prend également en charge plusieurs langues.
Conseils pour les propriétaires de sites Web
Si reCAPTCHA vous semble être le bon choix, lisez la suite pour obtenir des conseils sur la façon de l’utiliser. Google fournit une page d’assistance reCAPTCHA si vous avez des questions ou rencontrez des problèmes.
Quand utiliser reCAPTCHA ?
reCAPTCHA peut protéger votre site contre les spams et les abus et rassurer les clients légitimes sur la sécurité de leurs données. Voici quelques situations où reCAPTCHA peut s’avérer utile :
- Inscription : si vous autorisez des personnes à créer un compte sur votre site Web, reCAPTCHA peut aider à empêcher les utilisateurs automatisés de profiter abusivement de votre système et de le spammer. Découvrez comment utiliser reCAPTCHA pour les formulaires d’inscription sur votre site Mailchimp.
- Formulaires de contact : la prévention des spams vous laisse plus de temps pour répondre aux messages légitimes.
- Pages de connexion : empêchez les pirates de tenter de deviner les mots de passe des utilisateurs ou de mener d’autres types d’attaques.
- Transactions e-commerce : les CAPTCHA peuvent vous aider à mettre fin aux transactions frauduleuses ou au scraping de vos données produit.
Comment mettre en place reCAPTCHA
Voici les étapes pour mettre en place reCAPTCHA sur votre site :
- Inscrivez-vous pour obtenir une clé API (Application Programming Interface) en visitant le site Web reCAPTCHA de Google, en créant un compte et en spécifiant les domaines Internet où vous utiliserez le service.
- Choisissez la version de reCAPTCHA (v2 ou v3) qui correspond le mieux à vos besoins.
- Intégrez le code reCAPTCHA dans votre site ou application. Cela implique généralement l’ajout de code JavaScript à vos pages Web et la modification de tout script de soumission de formulaire pertinent afin d’inclure la validation reCAPTCHA.
- Utilisez le site de test reCAPTCHA pour tester votre intégration et vous assurer que vos formulaires sont correctement validés.
Vous trouverez une documentation détaillée et des tutoriels sur le site Web de reCAPTCHA de Google, afin de vous aider dans le processus d’intégration.
Comment mettre à jour reCAPTCHA ?
Il est important de maintenir votre programme de sécurité à jour. Vous pouvez :
- Vérifier votre version de reCAPTCHA en consultant le code source de votre site. Il est peut-être temps de procéder à une mise à jour si vous utilisez une version ancienne.
- Remplacer l’ancien code par le code mis à jour, que vous trouverez sur le site Web de reCAPTCHA avec les instructions de mise en œuvre.
L’avenir des CAPTCHA
Comme tout programme informatique conçu pour protéger contre les abus, reCAPTCHA doit toujours garder une longueur d’avance sur les acteurs malveillants et les bots avancés. Voici quelques utilisations possibles de la technologie CAPTCHA à l’avenir :
- Extension à d’autres appareils et plateformes : la sécurité étant une préoccupation croissante, les défis CAPTCHA pourraient devenir plus courants sur les appareils portables ou les périphériques domestiques intelligents.
- Plus d’invisibilité : la case à cocher pourrait bien tomber aux oubliettes. Les futurs CAPTCHA devraient fonctionner en arrière-plan, sans que les visiteurs aient à répondre à un défi de sécurité.
- Améliorations de l’accessibilité : outre une version audio, les futurs services CAPTCHA pourraient inclure d’autres méthodes de saisie, une meilleure prise en charge des lecteurs d’écran ou d’autres technologies.
Si reCAPTCHA vous semble être la solution idéale, inscrivez votre petite entreprise au service reCAPTCHA gratuit de Google ou consultez un autre fournisseur CAPTCHA pour protéger votre site Web contre les pirates informatiques, les bots et les comptes automatisés !