hCaptcha manque de conformité vérifiée en matière d'accessibilité
Malgré ses affirmations de conformité WCAG 2.2 et ADA, hCaptcha ne fournit aucune certification indépendante. Les utilisateurs en situation de handicap signalent des obstacles importants.
Le cookie d'accessibilité est peu fiable et dépendant de la confidentialité
Il nécessite une inscription manuelle et ne fonctionne pas toujours avec Firefox et Brave. Le cookie doit également être renouvelé périodiquement.
Les défis visuels continuent d'exclure les utilisateurs
Les CAPTCHAs d'images sont presque impossibles à résoudre pour les personnes malvoyantes. L'alternative textuelle a été supprimée, bloquant pour certains l'accès aux sites web et à Internet.
Friendly Captcha : la protection anti-bot véritablement inclusive
Friendly Captcha utilise une technologie proof-of-work invisible avec certification officielle WCAG 2.2 Level AA gold, pour un accès égal pour tous les utilisateurs sans compromettre la sécurité. Essayez maintenant ›
Qu’est-ce que Google Cloud Fraud Defense ?
Lors de la conférence Google Cloud Next le 22 avril 2026, Google a présenté Google Cloud Fraud Defense, le positionnant comme la nouvelle génération de sa technologie reCAPTCHA.
L’objectif déclaré de l’évolution de reCAPTCHA est bien connu : distinguer les humains des bots. Cloud Fraud est conçu pour protéger les sites web contre les attaques automatisées et réduire la fraude sur ce que Google appelle « le web agentique sécurisé » – un environnement où des agents IA autonomes interagissent de plus en plus avec les services numériques aux côtés des utilisateurs humains.
Le changement visible concerne le mécanisme de vérification CAPTCHA. Google s’éloigne des puzzles traditionnels de reconnaissance d’images reCAPTCHA v2 ou v3. Au lieu de demander aux utilisateurs d’identifier des passages piétons ou des bornes d’incendie, Google Cloud Fraud Defense introduit un défi par code QR. L’utilisateur le scanne avec son téléphone. Le téléphone confirme la présence humaine. L’accès est autorisé.
Cela semble être une nette amélioration par rapport aux puzzles d’images pour les utilisateurs légitimes. Mais le véritable mécanisme n’est pas le code QR – c’est ce qui se passe lorsque le téléphone le scanne. Les critiques ont déjà réagi.
Comment ça marche – La réalité technique
Lorsqu’un utilisateur scanne le code QR de Google Cloud Fraud Defense, son appareil communique avec l’infrastructure de Google pour vérifier la présence humaine. Selon les propres exigences de Google, le système fonctionne sur :
Les appareils Android récents sur lesquels Google Play Services est installé
Les iPhone ou iPad récents fonctionnant sous iOS 16.4 ou une version ultérieure
La solution iOS ne nécessite aucun logiciel supplémentaire. La solution Android nécessite Google Play Services – le niveau logiciel à code source fermé de Google fonctionnant sur les appareils Android certifiés.
C’est cette exigence unique qui pose problème.
Qui se retrouve exclu par Google Fraud Defense ?
Tout appareil Android ne disposant pas de Google Play Services échoue à la vérification de Google Cloud Fraud Defense. Cela inclut :
GrapheneOS : la version dérivée d’Android renforcée en matière de sécurité recommandée par l’Electronic Frontier Foundation, utilisée par des journalistes, des avocats et des militants dans des environnements à haut risque
CalyxOS et LineageOS : des distributions Android axées sur la confidentialité utilisées par des millions d’utilisateurs à travers le monde
Firefox pour Android : qui ne figure pas dans la liste officielle des navigateurs pris en charge par Google pour Fraud Defense
Il ne s’agit pas de cas marginaux. Ces utilisateurs sont les plus susceptibles de se soucier de la manière dont un site web traite leurs données – et les moins susceptibles de présenter un risque réel de fraude. Comme l’ont rapporté PrivacySavvyet documenté en détail sur les forums XDA, ce déploiement a déjà suscité de vives inquiétudes au sein des communautés Android soucieuses de la confidentialité.
Pour les opérateurs de sites web, l’implication commerciale est claire : tout utilisateur ayant consciemment choisi de se retirer de l’écosystème de Google est automatiquement considéré comme suspect. Il ne s’agit pas uniquement d’une conséquence en matière de sécurité. C’est également une conséquence pour l’écosystème.
Les critiques établissent un parallèle avec le Web Environement Integrity
Les défenseurs de la vie privée et les chercheurs en sécurité ont établi un parallèle direct entre Google Cloud Fraud Defense et une proposition faite – puis retirée – par Google trois ans plus tôt.
En juin 2023, Google a proposé Web Environment Integrity (WEI) au projet Chromium : un mécanisme qui aurait permis aux sites web de vérifier si le navigateur et l’appareil d’un utilisateur étaient du matériel certifié par Google. Les organismes de normalisation, Mozilla et l’Electronic Frontier Foundation l’ont rapidement rejeté. Mozilla a déclaré que la proposition « allait à l’encontre des intérêts des utilisateurs » et « créait un internet fermé contrôlé par les fournisseurs de systèmes d’exploitation et d’appareils ». L’EFF l’a qualifié de « plan de Chrome pour mettre le Web sous DRM ». Google a retiré la proposition en quelques semaines.
Les détracteurs affirment désormais que Google Cloud Fraud Defense aboutit à des résultats structurellement similaires – subordonner l’accès au Web à la certification des appareils – cette fois-ci sous la forme d’un produit commercial plutôt que d’une proposition de norme publique. Google n’a pour sa part reconnu aucun lien entre Fraud Defense et le WEI, et présente le produit exclusivement comme une plateforme de prévention de la fraude.
Collecte de données et vie privée
Google affirme que Google Cloud Fraud Defense utilise un « traitement des données préservant la vie privée » et décrit sa transition vers un modèle de sous-traitant à compter du 2 avril 2026, donnant aux opérateurs de sites web « un contrôle direct sur les données des utilisateurs ». Google décrit également la collecte de « télémétrie anonymisée » à partir de milliards d’interactions pour alimenter ses modèles de détection.
Cependant, les défenseurs de la vie privée soulèvent des questions auxquelles la documentation publique de Google n’apporte pas de réponse complète : quels signaux au niveau des appareils sont collectés lors d’un contrôle de Google Cloud Fraud Defense ? Combien de temps sont-ils conservés ? Pourraient-ils être utilisés pour créer des identifiants inter-sites persistants ?
Étant donné que la vérification est liée au matériel certifié de l’appareil plutôt qu’à un cookie de session, les critiques affirment que cette architecture soulève des questions quant à la possibilité d’une attribution durable – même si ce n’est pas l’objectif déclaré de Google.
Pour les opérateurs de sites web soumis au RGPD, cela soulève une question pratique de conformité : comprendre exactement quelles données transitent par Google Cloud Fraud Defense, sur quelle base juridique, et comment le documenter dans une politique de confidentialité.
Google Fraud Defense stoppe-t-il réellement les bots ?
L’argument de sécurité en faveur du mécanisme de défi par code QR de Google Cloud Fraud Defense mérite d’être examiné sous deux angles.
Contournement automatisé : Des chercheurs en sécurité ont noté qu’un code QR affiché à l’écran peut être scanné par une caméra pointée vers cet écran – une automatisation simple réalisable avec du matériel disponible dans le commerce. Selon une discussion sur Hacker News suite au lancement, un commentateur a estimé qu’un appareil Android conforme capable de passer la vérification peut être acheté pour environ 30 dollars, ce qui fait de l’attestation matérielle un coût fixe gérable pour les opérations de bots professionnelles à grande échelle.
Risque lié au comportement des utilisateurs : Un professionnel de la réponse aux incidents, dans le même fil de discussion sur Hacker News, a soulevé une autre préoccupation : Fraud Defense habitue les utilisateurs à scanner des codes QR pour accéder à des sites web. Les campagnes de phishing exploitent couramment ce comportement acquis par les utilisateurs. La même habitude qui aide un utilisateur à passer un test de vérification légitime de Google Cloud Fraud Defense pourrait le rendre plus vulnérable à un code QR malveillant présenté dans le même contexte.
Ce que cela signifie pour les opérateurs de sites web
Les opérateurs qui envisagent d’adopter Fraud Defense sont confrontés à une série de questions pratiques :
Obligations de conformité
L’intégration de Fraud Defense implique de faire passer la vérification de vos utilisateurs par l’infrastructure de Google. Il vous incombe de comprendre la base juridique de ce traitement des données, de la documenter avec précision dans votre politique de confidentialité et de vous assurer qu’elle satisfait aux exigences du RGPD. La transition de Google vers un modèle de sous-traitant constitue un pas en avant, mais le cadre de conformité exige toujours un travail actif de la part des opérateurs.
Risque de conversion
Chaque utilisateur qui ne parvient pas à terminer la vérification représente une interaction perdue – et dans le e-commerce, ce coût s’accumule rapidement. Découvrez comment les attaques de bots affectent la conversion et les revenus du e-commerce.
Les utilisateurs soucieux de la confidentialité, ceux qui utilisent des ROM Android personnalisées et les utilisateurs de Firefox pour Android échoueront – non pas parce qu’ils sont des bots, mais parce qu’ils utilisent des logiciels qui ne participent pas à l’architecture de certification de Google.
Dépendance vis-à-vis du fournisseur
Fraud Defense lie directement votre protection contre les bots à l’infrastructure et aux exigences de certification de Google. Les modifications apportées à la tarification de Google, à la liste des appareils pris en charge ou à la politique affectent votre couche de protection sans que vous ayez votre mot à dire.
Structure des coûts
Fraud Defense est gratuit jusqu’à 10 000 évaluations (Essentials), passe à 8,00 $/1 000 pour la version Premium et nécessite un engagement de 12 mois au niveau Enterprise. Notre article sur les tarifs de reCAPTCHA présente comment cela se compare.
Une approche différente : la preuve de travail sans certification des appareils
L’alternative à la vérification basée sur les appareils n’est pas une sécurité plus faible. Il s’agit d’un modèle de sécurité entièrement différent.
Les systèmes de preuve de travail comme Friendly Captcha émettent des défis cryptographiques qui nécessitent un effort de calcul directement dans le navigateur de l’utilisateur. Un seul humain résolvant un défi paie un coût négligeable. Une ferme de bots exécutant des sessions simultanées fait face à des coûts de calcul augmentant de manière exponentielle à chaque tentative supplémentaire. Les agents IA, qui consomment des cycles GPU pour fonctionner, sont soumis à la même structure de coûts, quelle que soit leur sophistication.
Aucun identifiant matériel ni scan de code QR n’est impliqué. Aucune couche de certification ne détermine qui peut participer. Les utilisateurs de GrapheneOS, Firefox ou de tout autre navigateur et appareil effectuent la vérification sans friction – car le mécanisme ne leur demande jamais quel appareil ils utilisent.
Friendly Captcha ne traite que ce qui est nécessaire à la détection des bots, applique une anonymisation automatique et une suppression dans les 30 jours, et conserve toutes les données au sein de l’infrastructure de l’UE. La conformité au RGPD est intégrée à l’architecture même du produit, et non laissée aux opérateurs pour qu’ils la mettent en place a posteriori.
Conclusion
Google Cloud Fraud Defense se présente comme une évolution majeure de reCAPTCHA, spécialement conçu pour un web de plus en plus parcouru à la fois par des humains et des agents IA autonomes. Son intelligence anti-fraude à l’échelle de Google et sa protection unifiée du parcours utilisateur constituent de véritables atouts.
Dans le même temps, le produit soulève des questions légitimes que les opérateurs de sites web devraient examiner avant de l’intégrer : Quels utilisateurs sont structurellement exclu ? Quelles données sont transmises à Google pendant la vérification ? Comment les obligations de conformité sont-elles documentées ? Les critiques établissent un lien entre Fraud Defense et le Web Environment Integrity – un cadre que Google rejette, mais qui reflète un débat plus large sur la question de savoir qui contrôle l’accès au Web ouvert.
La protection contre les bots ne nécessite pas de connaître le matériel dont disposent vos utilisateurs. Friendly Captcha le démontre chaque jour – sans exclure personne, sans dépendre de l’infrastructure de certification d’un seul fournisseur, et avec des pratiques de données claires et vérifiables qui rendent la conformité simple plutôt que quelque chose à reconstituer a posteriori.
FAQ
Oui. Google a confirmé que les clients reCAPTCHA existants deviennent automatiquement des clients Fraud Defense, sans qu’aucune migration ne soit nécessaire. Les clés de site et les intégrations existantes restent exactement telles quelles : aucune action n’est requise et les tarifs ne changent pas.
Non. Lorsque le système décide de contester une session, il nécessite un téléphone Android sur lequel est installée la version 25.41.30 ou supérieure de Google Play Services. Cela signifie que Google Cloud Fraud Defense forcera les utilisateurs sur des appareils « dé-Googlés » – tels que GrapheneOS, CalyxOS ou LineageOS – à échouer automatiquement à la vérification, même s’ils sont des utilisateurs légitimes.
Google positionne Fraud Defense comme la prochaine évolution de reCAPTCHA, allant au-delà de la détection des bots pour devenir une plateforme de confiance plus large. En plus de la protection contre les bots, Fraud Defense ajoute la détection des prises de contrôle de compte, la prévention de la fraude par SMS, la protection des transactions et des outils spécialement conçus pour le web agentique. reCAPTCHA reste la couche de défense contre les bots au sein de la plateforme Fraud Defense plus large.
Google a introduit un modèle de sous-traitant pour Fraud Defense à compter du 2 avril 2026, qui donne aux opérateurs de sites web un contrôle plus direct sur les données des utilisateurs. Cependant, la conformité n’est pas automatique : les opérateurs restent responsables de la documentation des flux de données, de l’établissement d’une base juridique et de la mise à jour de leurs politiques de confidentialité. Les questions sans réponse concernant la collecte de signaux au niveau des appareils et la conservation des données signifient que ce sont les opérateurs – et non Google – qui assument la charge de la conformité.
English 
German 
French 
Spanish 
Italian 
Portuguese