Human versus bot recognition

Les captchas sont très répandus sur le web. On les retrouve souvent dans les formulaires de contact, sur les pages de connexion ou d’inscription et les sites web y ont recours afin de se défendre contre le spam, les robots d’indexation ou crawlers et les autres types de logiciels automatisés.

Tout internaute a forcément été un jour ou l’autre confronté à un captcha. Au moment de remplir un formulaire de contact comme pour souscrire à un nouveau service, les captchas sont omniprésents. Les captchas peuvent prendre différentes formes, telles que la répétition d’une série de caractères déformés ou la sélection d’images en fonction de ce qu’elles représentent. Il arrive même dans certains cas que les captchas fonctionnent entièrement en arrière-plan.

Choisir le bon captcha pour votre site web n’est pas chose facile. Plusieurs facteurs entrent en ligne de compte pour la décision, avec évidemment en tête de liste les performances du Captcha en matière de défense de votre site web contre les bots. Mais ce n’est pas tout. Un bon captcha se doit d’être accessible à tous (ne pas discriminer les utilisateurs non-voyants ou être trop pénible par exemple), être transparent quant à la façon dont sont traitées les données à caractère personnel et traiter les informations concernant les utilisateurs avec respect.

reCAPTCHA v2

Google reCAPTCHA

reCAPTCHA est sans conteste la solution Captcha la plus courante et on la retrouve sur un nombre infini de sites Internet. Il s’agit d’un service proposé gratuitement par Google aux sites web et applications de petites entreprises. Les entreprises clientes rémunèrent Google à la vérification effectuée.

reCAPTCHA peut se présenter soit sous la forme d’une case à cocher sur le site web, sur laquelle l’utilisateur doit cliquer afin de confirmer qu’il est bien un être humain, soit peut fonctionner en arrière-plan. Dans un cas comme dans l’autre, reCAPTCHA demande à l’utilisateur, que le système considère comme suspect, de résoudre manuellement une tâche de reconnaissance d’image même s’il est en mode invisible.

Comment reCAPTCHA peut-il savoir que vous êtes un être humain ?

Le principe du reCAPTCHA consiste à suivre et à collecter autant d’informations que possible concernant l’utilisateur et son comportement, telles qu’une capture complète de la fenêtre du navigateur de l’utilisateur, les plugins de son navigateur, les déplacements de la souris, les frappes au clavier, les sites Web précédemment consultés, l’adresse IP, les cookies, etc. [1].

En regroupant toutes ces informations, reCAPTCHA parvient à déterminer si l’utilisateur est un être humain ou non. Dans les cas où reCAPTCHA n’est pas en mesure de collecter suffisamment d’informations lui permettant de déterminer si un utilisateur est un bot, il demande à l’utilisateur de résoudre manuellement un puzzle.

reCAPTCHA omet de divulguer dans sa politique de confidentialité ce qu’il advient exactement des données collectées [2].

Parmi les données partagées avec les autres services de Google, on trouve les cookies appartenant au domaine google.com. Pour intégrer reCAPTCHA sur votre site web, vous devez charger le code JavaScript depuis le domaine google.com. reCAPTCHA a donc accès à tous les cookies précédemment déposés par d’autres services Google et peut, le cas échéant, suivre les utilisateurs même sur les sites Web qui ne lui appartiennent pas [3].

reCAPTCHA est-il conforme au RGPD ?

En intégrant reCAPTCHA sur votre site web, vous envoyez forcément des données concernant vos utilisateurs vers des serveurs situés aux États-Unis. Si vous êtes incapable d’informer vos utilisateurs quant à la manière dont ces données sont traitées, vous enfreignez le RGPD et n’êtes donc pas autorisé à utiliser reCAPTCHA au sein de l’UE. [4].

  • Avantage : Gratuit pour les clients hors entreprise
  • Avantage : N’attend pas que l’utilisateur résolve un puzzle, dans la plupart des cas.
  • Inconvénient : Pas accessible à tous les utilisateurs
  • Inconvénient : Traite un grand nombre de données concernant l’utilisateur
  • Inconvénient : N’est pas transparent au sujet de la manière dont sont traitées et conservées les données
  • Inconvénient : Partage des cookies avec tous les services Google
  • Inconvénient : Soumis à la législation américaine en matière de surveillance en tant que fournisseur américain
hCaptcha image recognition task

hCaptcha

hCaptcha est une alternative à reCAPTCHA, elle aussi basée aux États-Unis et proposée gratuitement aux clients hors entreprises. hCaptcha demande aux visiteurs de sites web d’identifier des images, ce qui s’inscrit dans leur modèle commercial : la société mère de hCaptcha est une entreprise d’étiquetage d’images. Les données étiquetées du widget Captcha sont vendues à des sociétés de données [5].

hCaptcha propose une expérience qui n’est pas sans rappeler l’ancienne version 2 de reCAPTCHA. Toutefois, du fait de son modèle commercial, l’opérateur se concentre davantage sur les tâches manuelles de reconnaissance d’images. Grâce à ces tâches manuelles, le service hCaptcha fonctionne avec moins de données que celui de Google. Il n’en reste pas moins que hCaptcha a recours aux cookies afin de fournir ses services et à des fonctionnalités payées par l’entreprise, comme son mode passif. L’un de ces cookies conserve un identifiant unique pour chaque utilisateur, ce qui permet potentiellement à hCaptcha de suivre les utilisateurs sur les sites web utilisant hCaptcha.

Comment hCAPTCHA peut-il savoir que vous êtes un être humain ?

Dans le cas de clients ordinaires, hCaptcha demande à chaque utilisateur d’un site web de résoudre manuellement une tâche d’étiquetage d’images à partir d’un jeu d’images. Une tâche parfois ardue, même sans handicap, la faute notamment à des exercices d’étiquetage plus complexes que ceux de reCAPTCHA.

Les entreprises clientes peuvent quant à elles utiliser la version invisible du captcha. Cette option impose toujours à l’utilisateur de résoudre un puzzle lorsque les données collectées ne suffisent pas à déterminer si le visiteur est ou non un être humain.

hCAPTCHA est-il conforme au RGPD ?

Tout comme Google, hCaptcha est une entreprise américaine. Autrement dit, il est impossible de garantir que les données concernant vos utilisateurs ne sortiront jamais de l’UE. En intégrant hCaptcha sur votre site web, vous envoyez inévitablement des données concernant vos utilisateurs vers un fournisseur américain. Contrairement à reCAPTCHA, hCaptcha précise dans sa politique de confidentialité quelles données sont collectées, traitées et partagées avec des tiers, y compris d’autres entreprises américaines. Pour être en conformité avec le RGPD, vous devez obtenir au préalable le consentement de tout utilisateur, en particulier concernant les cookies et les tiers. Faute de consentement préalable, l’utilisation peut se révéler impossible du point de vue de la protection des données, ce qui tend à compliquer l’intégration de hCaptcha dans la pratique.

  • Avantage : Gratuit pour les clients hors entreprise
  • Avantage : Informe des flux de données et collecte moins de données
  • Inconvénient : Utilise des cookies et des tiers américains
  • Inconvénient : Les utilisateurs ne fournissant pas suffisamment de données doivent résoudre un puzzle d’images.
  • Inconvénient : Pas accessible à tous les utilisateurs
  • Inconvénient : Soumis à la législation américaine en matière de surveillance en tant que fournisseur américain
Cryptographic captcha puzzle

Friendly Captcha

Friendly Captcha est un Captcha d’un nouveau genre, basé dans l’Union européenne, qui privilégie la protection de la vie privée et l’accessibilité. Il s’agit de la seule solution sur le marché basée sur un proof of work sophistiqué disponible sur le marché, qui utilise une combinaison de cryptographie et de fingerprinting avancé et offre une protection intégrale de la confidentialité pour défendre les sites web et les formulaires contre les attaques.

Plutôt que de laisser l’utilisateur résoudre les puzzles manuellement, Friendly Captcha préfère générer un puzzle cryptographique que le navigateur de l’utilisateur se charge de résoudre en arrière-plan. En fonction des signaux techniques, la difficulté du puzzle peut être ajustée afin de compliquer la tâche aux bots soupçonnés de tentative d’intrusion. Friendly Captcha est totalement conforme au RGPD et n’a pas besoin du consentement préalable de l’utilisateur pour fonctionner.

Comment Friendly Captcha peut-il savoir que vous êtes un être humain ?

Friendly Captcha remet à chaque utilisateur un puzzle cryptographique unique qui peut être résolu par le navigateur de l’utilisateur sans la moindre interaction manuelle. La résolution du puzzle ne prend généralement pas plus de quelques secondes et peut se faire en arrière-plan, tandis que l’utilisateur est toujours en train d’interagir avec une autre partie du site. La difficulté du puzzle, et donc le temps nécessaire à la résolution, sont ajustés de façon intelligente afin de se défendre contre les spams et les utilisateurs malveillants.

Friendly Captcha est-il conforme au RGPD ?

Friendly Captcha étant situé en Europe, les données concernant vos utilisateurs ne sortent jamais de l’UE. Friendly Captcha est transparent quant aux informations collectées et traitées et n’utilise aucun cookie pour suivre les utilisateurs. À partir du moment où vous informez vos utilisateurs, vous pouvez utiliser Friendly Captcha dans le respect du RGPD.

  • Avantage : Convivial, l’utilisateur n’ayant pas besoin de résoudre de puzzle manuellement
  • Avantage : Accessible à tous les utilisateurs
  • Avantage : Pas de cookies ni de suivi
  • Avantage : Les données ne sortent jamais de l’UE
  • Inconvénient : Gratuit uniquement pour les sites web et les applications de petite taille
Secure captcha

Conclusion

reCaptcha et hCAPTCHA ont des modes de fonctionnement semblables. Tandis que hCaptcha est davantage axé sur les tâches d’étiquetage d’images et donc un peu meilleur en termes de protection de la vie privée, dans un cas comme dans l’autre, l’accessibilité pour les personnes handicapées laisse à désirer. Dans sa version gratuite en particulier, hCaptcha exige de chacun des utilisateurs qu’il résolve manuellement un puzzle. Qui plus est, reCAPTCHA et hCaptcha, en tant que solutions appartenant à des entreprises américaines, ne sont pas une option pour les sites web de l’UE.

Friendly Captcha mise sur une approche technologique différente et constitue une option conviviale et accessible. Friendly Captcha est donc la solution qu’il vous faut si vous tenez impérativement à ce que les données de vos utilisateurs restent protégées et ne sortent pas de l’UE.

Si vous voulez essayer Friendly Captcha vous-même, vous pouvez regarder notre live demo. Vous trouverez de plus amples renseignements concernant Friendly Captcha ici.