Passer au contenu principal

Facile pour les humains, difficile pour les robots : tirer parti du service reCAPTCHA

Découvrez comment reCAPTCHA peut protéger votre site Web contre la fraude ainsi que les avantages, les inconvénients et les bonnes pratiques de cet outil de sécurité.

Qu'est-ce que reCAPTCHA ?

L'acronyme anglais CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) désigne le test de Turing permettant de faire la distinction, de manière entièrement automatisée, entre humains et ordinateurs. Un CAPTCHA protège les sites Web contre les spams et les bots en demandant aux internautes de répondre à un test conçu pour être facile pour un utilisateur humain, mais difficile pour un compte de bot automatisé. Les CAPTCHA assurent la vérification et la sécurité des sites Web, applications et autres services électroniques.

Le reCAPTCHA de Google ne se contente pas de prouver que vous êtes un véritable être humain. Il vise également à contrecarrer les tactiques malveillantes, comme le remplissage d'informations d'identification, une pratique dans laquelle les pirates informatiques utilisent des listes de noms de comptes et de mots de passe compromis pour tenter de pénétrer dans les comptes d'utilisateurs sur d'autres sites.

L'histoire de reCAPTCHA

reCAPTCHA a été conçu en 2007, comme outil de numérisation de livres. On montrait à des utilisateurs du texte qu'un ordinateur n'était pas capable de reconnaître et on leur demandait de saisir ce qu'ils voyaient. En 2009, Google achète reCAPTCHA et commence à l'utiliser pour améliorer la sécurité Internet. Aujourd'hui, ce service est largement utilisé en matière de vérification, afin de protéger contre les spams et les robots, et est un outil important pour maintenir la sécurité et l'intégrité des systèmes en ligne.

reCAPTCHA, v2, v3 : quelle est la différence ?

reCAPTCHA utilise la reconnaissance d'image, la reconnaissance audio, l'analyse comportementale et l'apprentissage automatique pour déterminer si l'utilisateur est humain ou non. C'est le service le plus populaire, installé sur des millions de sites, avec plus de 97 % de parts de marché.

Actuellement, il existe deux versions de reCAPTCHA :

  • reCAPTCHA v2 exige que les utilisateurs résolvent un problème (ou défi) ou cliquent sur une case à cocher. Il permet aux propriétaires de sites Web de personnaliser la présentation et le fonctionnement du problème à résoudre.
  • reCAPTCHA v3 fonctionne en arrière-plan et ne nécessite aucune interaction. Il génère un score basé sur des facteurs tels que le comportement de l'utilisateur, l'heure de la journée et d'autres informations contextuelles.

Fonctionnement de reCAPTCHA

Un site utilisant reCAPTCHA comprend un petit code (un "script") qui gère le processus de défi-réponse. Tandis que l'utilisateur interagit avec le défi, reCAPTCHA collecte des données sur son comportement, telles que ses frappes, le mouvement et la synchronisation de la souris, et l'historique de navigation.

Le script communique avec le serveur de Google via une clé secrète pour chiffrer la communication. La clé secrète est unique à chaque site Web et est générée lorsque le propriétaire du site Web configure reCAPTCHA.

Les algorithmes de Google comparent les données avec les comportements humain et bot connus et peuvent demander à l'utilisateur de relever des défis supplémentaires ou bloquer son accès.

Intelligence artificielle (IA) et reconnaissance de modèles

La technologie reCAPTCHA utilise l'IA pour procéder à une analyse avancée des risques avec chaque nouvel utilisateur du site, en évaluant des éléments tels que l'adresse IP, les informations sur le navigateur et l'appareil, ou encore l'historique de navigation. reCAPTCHA attribue ensuite un score de risque. Un score de risque faible indique une forte probabilité que l'utilisateur soit humain, tandis qu'un score de risque élevé suggère qu'il peut s'agir d'un robot. Si le programme suspecte un robot ou a besoin de plus d'informations, il demande à l'utilisateur d'effectuer un test reCAPTCHA.

Types de tests reCAPTCHA

Les tests CAPTCHA se présentent sous de nombreuses formes et ont été adaptés pour devenir plus sophistiqués, plus difficiles à tromper et moins intrusifs. Le type de reCAPTCHA dépend de divers facteurs, dont les paramètres de sécurité du site, le contexte et le type d'activité.

Texte

Le visiteur du site Web voit une série de lettres et de chiffres qui ont été déformés ou partiellement masqués et il lui est demandé de les saisir dans le même ordre.

Reconnaissance d'image

L'utilisateur voit des images déformées, recadrées ou partiellement masquées et doit sélectionner celles qui correspondent à une description spécifique ; par exemple, des images contenant des panneaux de signalisation ou des véhicules.

Case à cocher

Parfois appelée "reCAPTCHA non CAPTCHA," cette méthode exige simplement de l'utilisateur qu'il coche une case pour confirmer qu'il n'est pas un robot. Google utilise des informations contextuelles, telles que l'adresse IP de l'utilisateur et les données du navigateur, pour vérifier qu'il s'agit d'un utilisateur humain.

Évaluation du comportement de l'utilisateur

Souvent, il n'y a ni case à cocher ni défi CAPTCHA. Dans cette version "invisible", le système procède automatiquement à la vérification et la case à cocher n'apparaît que si Google soupçonne que l'utilisateur est en fait un robot. Cela rend l'expérience utilisateur plus fluide et moins intrusive.

Avantages et inconvénients de reCAPTCHA

Il est utile d'examiner les avantages et les inconvénients de reCAPTCHA pour déterminer s'il vous correspond.

Avantages

Une plus grande confidentialité

Bien que reCAPTCHA soit principalement conçu pour améliorer la sécurité, il peut également contribuer à améliorer la confidentialité en empêchant l'accès non autorisé à des informations sensibles, telles que les coordonnées de vos clients.

Limite les faux utilisateurs

Le volume de fraude sur Internet n'est un secret pour personne. L'utilisation du service reCAPTCHA permet de s'assurer que les internautes capables de résoudre le défi reCAPTCHA sont les visiteurs que vous souhaitez.

Filtre automatiquement les commentaires des utilisateurs

Offrir aux clients la possibilité de laisser des avis ou des commentaires sur des publications de réseaux sociaux peut être un excellent moyen de renforcer l'engagement client. Mais le filtrage manuel des commentaires abusifs et des spams demande beaucoup de travail.

Service gratuit pour les petites entreprises

Le reCAPTCHA de Google est un service gratuit pour toute entreprise effectuant moins d'un million de contrôles de sécurité par mois. Au-delà, Google a lancé reCAPTCHA Enterprise pour aider les clients de plus grande envergure à se prémunir contre les spams et les abus.

Inconvénients

Interaction utilisateur supplémentaire

Vous voulez rendre l'expérience de vos visiteurs aussi simple et fluide que possible, et le fait de devoir résoudre un défi de vérification ajoute un ou deux obstacles supplémentaires sur ce parcours.

Défis liés à l'accessibilité

Les personnes malvoyantes peuvent trouver les CAPTCHA difficiles. Les dernières versions comprennent une option audio qui permet d'écouter un clip audio et de répondre verbalement.

Des utilisateurs véritables peuvent être marqués comme suspects

Aucun système n'est parfait. Lorsque des personnes sont identifiées à tort en tant que robots, par exemple, elles peuvent devoir passer par des étapes supplémentaires pour accéder au site ou se voir l'accès entièrement bloqué.

Des utilisateurs Google favorisés

Bien que reCAPTCHA appartienne et soit exploité par Google, il peut être utilisé par n'importe quel site Web ou application. Cependant, il fonctionne en déterminant si vous avez des cookies Google sur votre navigateur. Ainsi, un utilisateur connecté à un compte Google peut trouver reCAPTCHA plus fluide et plus facile qu'un internaute n'utilisant pas Google.

Les robots s'améliorent

Inévitablement, les acteurs malveillants améliorent constamment leur capacité à contourner les services de vérification. Bien que reCAPTCHA s'efforce de garder une longueur d'avance, aucun système n'est parfait et des pirates ingénieux parviennent parfois à le mettre en échec.

Alternatives pour les utilisateurs de reCAPTCHA

Bien que le programme de Google détienne la majorité des parts de marché, il n'est pas le seul à utiliser la vérification CAPTCHA pour protéger les sites Web contre la fraude. Voici d'autres options :

  • Akismet : Si votre site Web a été conçu sous WordPress, vous pouvez opter pour ce plug-in qui utilise des algorithmes d'apprentissage automatique pour identifier et bloquer les commentaires indésirables.
  • BotDetect : Technologie CAPTCHA polyvalente, ce programme permet aux utilisateurs de personnaliser le défi et la conception des formulaires de la manière la plus logique pour leurs clients.
  • KeyCAPTCHA : Cette technologie CAPTCHA utilise des puzzles interactifs pour vérifier l'identité, au lieu de la reconnaissance traditionnelle des lettres et des chiffres.
  • hCaptcha : Ce programme a été développé pour une meilleure accessibilité aux personnes handicapées. Il comprend une série de défis, comme la reconnaissance d'image, la reconnaissance audio et les puzzles interactifs. Il prend également en charge plusieurs langues.

Conseils pour les propriétaires de sites Web

Si reCAPTCHA vous semble être le bon choix, lisez la suite pour obtenir des conseils sur la façon de l'utiliser. Google fournit une page d'assistance reCAPTCHA si vous avez des questions ou rencontrez des problèmes.

Quand utiliser reCAPTCHA ?

reCAPTCHA peut protéger votre site contre les spams et les abus et rassurer les clients légitimes sur la sécurité de leurs données. Voici quelques situations où reCAPTCHA peut s'avérer utile :

  • Inscription : Si vous autorisez des personnes à créer un compte sur votre site Web, reCAPTCHA peut aider à empêcher les utilisateurs automatisés d'abuser et de spammer votre système. Découvrez comment utiliser reCAPTCHA pour les formulaires d'inscription sur votre site Mailchimp.
  • Formulaires de contact : La prévention des spams vous laisse plus de temps pour répondre aux messages légitimes.
  • Pages de connexion : Empêchent les pirates informatiques d'essayer de deviner les mots de passe des utilisateurs ou de mener d'autres types d'attaques.
  • Transactions d'e-commerce : Les CAPTCHA contribuent à stopper les transactions et la récupération frauduleuses de vos données produit.

Comment installer reCAPTCHA ?

Voici les étapes à suivre pour installer reCAPTCHA sur votre site :

  1. Inscrivez-vous pour obtenir une clé API (Application Programming Interface) en visitant le site Web reCAPTCHA de Google, en créant un compte et en spécifiant les domaines Internet où vous utiliserez le service.
  2. Choisissez la version de reCAPTCHA (v2 ou v3) qui correspond le mieux à vos besoins.
  3. Intégrez le code reCAPTCHA dans votre site ou application. Cela implique généralement l'ajout de code JavaScript à vos pages Web et la modification de tout script de soumission de formulaire pertinent afin d'inclure la validation reCAPTCHA.
  4. Utilisez le site de test reCAPTCHA pour tester votre intégration et vous assurer que vos formulaires sont correctement validés.

Vous trouverez une documentation détaillée et des tutoriels sur le site Web de reCAPTCHA de Google, afin de vous aider dans le processus d'intégration.

Comment mettre à jour reCAPTCHA ?

Il est important de maintenir votre programme de sécurité à jour. Vous pouvez :

  • Vérifier votre version de reCAPTCHA en consultant le code source de votre site. Il est peut-être temps de procéder à une mise à jour si vous utilisez une version ancienne.
  • Remplacez l'ancien code par le code mis à jour, que vous trouverez sur le site Web de reCAPTCHA avec les instructions de mise en œuvre.

L'avenir des CAPTCHA

Comme tout programme informatique conçu pour protéger contre les abus, reCAPTCHA doit toujours garder une longueur d'avance sur les acteurs malveillants et les robots avancés. Voici quelques utilisations possibles de la technologie CAPTCHA à l'avenir :

  • Extension à d'autres appareils et plateformes : La sécurité étant une préoccupation de plus en plus importante, les défis du CAPTCHA pourraient se généraliser sur les appareils portables ou les appareils domestiques intelligents.
  • Davantage d'invisibilité : La case à cocher pourrait bien tomber aux oubliettes. Les futurs CAPTCHA seront susceptibles de fonctionner en arrière-plan, sans que les visiteurs aient à répondre à un défi de sécurité.
  • Améliorations de l'accessibilité : En plus d'une version audio, les futurs services CAPTCHA pourraient inclure d'autres méthodes de réponse, une prise en charge accrue des lecteurs d'écran ainsi que d'autres technologies.

Si reCAPTCHA vous semble être la solution idéale, inscrivez votre petite entreprise au service reCAPTCHA gratuit de Google ou consultez un autre fournisseur CAPTCHA pour protéger votre site Web contre les pirates informatiques, les robots et les comptes automatisés !

Partagez cet article