reCAPTCHA v3 – En bref

reCAPTCHA v3 fonctionne avec un système de notation des risques

reCAPTCHA v3 calcule une note de risque comprise entre 0 et 1 pour chaque interaction en fonction d'une évaluation des données personnelles, des données comportementales et des informations relatives à l'appareil. Une note de risque proche de 1 indique qu'il s'agit d'un utilisateur humain.

Limites de reCAPTCHA v3

En raison de son utilisation exclusive de la notation des risques et de la prise de décision binaire, reCAPTCHA v3 présente plusieurs limites. Les principaux inconvénients concernent la confidentialité, la précision (faux positifs et faux négatifs) et les solutions de secours en matière d'accessibilité.

Alternatives à reCAPTCHA v3

En raison de ses limites, des alternatives à reCAPTCHA v3 ont vu le jour. Les solutions CAPTCHA modernes sont plus accessibles, axées sur la confidentialité et offrent des capacités de prise de décision plus précises.

Solution de remplacement directe pour reCAPTCHA v3

Friendly Captcha est une solution de remplacement directe pour reCAPTCHA v3. Elle combine une technologie de preuve de travail invisible et préservant la confidentialité avec des signaux de risque avancés. Contrairement à reCAPTCHA v3, elle fournit des signaux de risque spécifiques plutôt qu'un score de risque unique. Essayez maintenant ›

Qu’est-ce que reCAPTCHA v3 ?

reCAPTCHA v3 est la solution CAPTCHA de Google de détection de bots. reCAPTCHA v3 vise à protéger les sites web et les applications contre les bots et les abus automatisés.

La nouveauté de la v3 de reCAPTCHA réside dans l’introduction d’un score de risque (risk score). Ce risk score, attribué à chaque requête individuelle, est établi grâce à la collecte d’informations et de données personnelles. Sur la base du risk score, les administrateurs de sites peuvent décider des mesures appropriées pour protéger leur site contre les bots et activités suspectes.

Ce guide reCAPTCHA v3 présente reCAPTCHA v3 et ses fonctionnalités, avant d’explorer les limites de Google reCAPTCHA v3. Nous examinerons également les subtilités du processus d’intégration de reCAPTCHA v3. Enfin, nous passerons en revue les nouvelles technologies CAPTCHA et aborderons les stratégies émergentes qui promettent d’améliorer la sécurité en ligne.

reCAPTCHA v3

Comment fonctionne Google reCAPTCHA v3

Au cœur du fonctionnement de reCAPTCHA v3 se trouve le score reCAPTCHA ou risk score. Il s’agit une valeur numérique comprise entre 0,0 et 1,0 qui permet d’évaluer si la requête provient d’un bot ou d’un utilisateur légitime.

Généralement considéré comme le CAPTCHA invisible de Google, reCAPTCHA v3 a été développé au moyen d’une méthode basée sur les signaux et qui fonctionne en arrière-plan, sans nécessiter d’interaction de la part de l’utilisateur.

Sur la base de l’analyse des données utilisateur, reCAPTCHA v3 détermine si une activité ressemble à un comportement humain et à une utilisation inoffensive ou à un trafic d’origine suspecte. Google recueille et stocke en permanence un grand nombre d’informations personnelles sur les internautes, en plus d’utiliser les cookies reCAPTCHA.

Il s’agit notamment des interactions sur les sites web, telles que

  • les mouvements de souris,
  • les clics,
  • les schémas de défilement,
  • la vitesse de frappe
  • des captures d’écran des pages et onglets ouverts.
 

En combinant cela à d’autres paramètres (origine du trafic, utilisation d’un VPN…), le score reCAPTCHA sera établi, un score proche de 1,0 indiquant que l’utilisateur est probablement humain, tandis qu’un score reCAPTCHA v3 proche de 0,0 indique une activité possible de la part d’un bot ou d’un programme automatisé.

Ce score est visible, depuis la migration, dans Google Cloud Console pour les administrateurs. Sera alors affichée une ventilation des données présentant les actions détectées les plus pertinentes ainsi qu’une nomination de ces actions et les notations sous-jacentes.

Les actions obtenant un score reCAPTCHA élevé, ce qui indiquerait un comportement humain, peuvent se voir accorder un accès immédiat. Les actions dont le score est plus faible (signe d’un comportement potentiellement frauduleux) peuvent être bloquées immédiatement, ou bien subir une vérification supplémentaire, souvant manuelle, pour vérifier qu’il s’agit bien d’utilisateurs humains. Il peut s’agir d’une vérification par mail ou de la résolution d’un défi CAPTCHA traditionnel, les plus connus étant de cliquer sur des voitures, des motos ou des panneaux de signalisation.

Caractéristiques et avantages de reCAPTCHA v3

Les avantages de reCAPTCHA v3 sont une bot protection suffisante pour un trafic de base, un effort fait sur l’opérabilité du produit, ainsi qu’une gestion flexible des risques.

Protection contre les robots 

Le CAPTCHA reCAPTCHA v3 est utilisé par sur des sites web du monde entier. Il s’agit d’une méthode courante pour se protéger des bots et des programmes automatisés. Cependant, les capacités de sécurité de reCAPTCHA v3 doivent être comparées avec les alternatives à reCAPTCHA, car reCAPTCHA n’offre qu’une protection de base contre les bots simples.

Avec les progrès de l’apprentissage automatique, le développement de l’IA et des bots de plus en plus sophistiqués, reCAPTCHA v3 atteint souvent ses limites. L’analyse des signaux de reCAPTCHA v3 n’est pas toujours en mesure de distinguer clairement les humains des robots. Cela entraîne de plus en plus de situations qu’on pourrait qualifier d’intermédiaires et qui nécessitent la réalisation de challenge CAPTCHA manuels comme solution de repli.

Amélioration de l’opérabilité

reCAPTCHA v3 voit son opérabilité et facilité d’utilisation améliorée de par sa version invisible. Cette version, qui dispense les utilisateurs de défis CAPTCHA, permet une première évaluation des risques en arrière-plan.

En revanche, si le comportement d’un utilisateur est classé comme inhabituel, ce dernier se verra obligatoirement proposé un test de repli qui nécessite une action manuelle de sa part. Le test traditionnel bien connu qui consiste à cocher la case « Je ne suis pas un robot » est généralement utilisé comme solution de repli la plus fréquente. Ce peut aussi être un test de reconnaissance et d’étiquetage d’images.

Ces challenges sont toutefois loin d’être un CAPTCHA accessible ou d’être conformes aux WCAG.

Gestion flexible des risques

Le système de notation des risques de reCAPTCHA v3 permet une gestion flexible des risques.

Les développeurs peuvent personnaliser leur propre score reCAPTCHA v3 en fonction des besoins de leur projet et environnement. Bien que cette personnalisation permette une certaine flexibilité, elle peut également être une “fausse bonne idée”. Le score reCAPTCHA v3 implique une prise de décision binaire qui ne correspond pas à une réalité web plus complexe : bloquer les accès à partir d’un score fixe, sans marge d’ajustement, peut entraîner un taux élevé de faux positifs. Cela peut conduire à l’exclusion d’utilisateurs légitimes, juste parce qu’ils ont paramétré leur navigation d’une certaine façon et ne peuvent pas être analysés par Google reCAPTCHA.

Fallback image recognition task

Limites de reCAPTCHA v3

Les limites de reCAPTCHA v3 touchent au respect de la vie privée (confidentialité), les problèmes d’accessibilité et d’opérabilité qui persistent et la complexité d’intégration.

Respect de la vie privée en question

reCAPTCHA v3 recueille un grand nombre d’informations personnelles identifiables et analyse les interactions détaillées de l’utilisateur. reCAPTCHA v3 collecte les adresses IP, mais peut aussi effectuer des captures d’écran intégrales de la fenêtre du navigateur des utilisateurs. 

reCAPTCHA V3 est grandement critiqué en raison de sa non-conformité au RGPD. Google reCAPTCHA v3 utilise notamment des cookies et stockage persistant dans des données.

De manière générale, la collecte, le stockage et l’utilisation des données par reCAPTCHA v3 ne sont pas pas effectués de manière transparente. Les conséquences sont un éventuel non-respect des règlementations en matière de confidentialité, que ce soit le Règlement Général de Protection des Données européen, le CCPA californien ou la Loi Informatique et Libertés en France.

Les sites web qui s’adressent à des utilisateurs européens doivent se conformer aux exigences du RGPD, ce qui implique que les données des utilisateurs européens ne peuvent pas être partagées avec des entreprises américaines sans consentement. Avec ce manque de transparence, reCAPTCHA v3 est donc bien problématique pour en matière de respect de la vie privée.

Problèmes d’accessibilité

reCAPTCHA v3 peut interpréter à tort un comportement atypique de l’utilisateur comme une activité suspecte d’un robot, bloquant complètement les utilisateurs réels ou les obligeant à résoudre des problèmes inaccessibles de reconnaissance d’images.

Les utilisateurs handicapés ont des difficultés à interagir avec les sites protégés par reCAPTCHA v3 car celui-ci utilise généralement la reconnaissance d’images traditionnelle comme solution de repli.

Ces problèmes visuels sont difficiles à surmonter et excluent les personnes souffrant de déficiences visuelles, les personnes âgées et celles qui utilisent des outils d’accessibilité tels que les lecteurs d’écran. Les faux positifs – lorsque des utilisateurs légitimes sont identifiés par erreur comme des bots – peuvent perturber l’expérience de l’utilisateur et décourager les vrais humains.

Ergonomie et opérabilité toujours restreintes

reCAPTCHA v3 fonctionne la plupart du temps en arrière-plan. Cependant, lorsqu’il détecte une activité suspecte, il doit se rabattre sur des tâches manuelles, telles que les tâches de reconnaissance d’images de reCAPTCHA qui doivent être résolues à la main.

Lorsque les signaux de risque ne peuvent pas être capturés en raison du comportement des utilisateurs soucieux de leur vie privée, la protection contre les robots de reCAPTCHA v3 n’est que partiellement efficace.

Les utilisateurs prudents sont plus enclins à résoudre manuellement les CAPTCHAs de reconnaissance d’images supplémentaires. Cela est particulièrement vrai pour les utilisateurs soucieux de la protection de leur vie privée, qui utilisent un bloqueur de suivi ou un VPN, ou qui ne sont pas connectés à Google.

Complexité de l’intégration

Alors que les étapes initiales de l’intégration de reCAPTCHA v3 sont généralement simples, les étapes finales nécessitent une configuration détaillée et une phase de test pour s’assurer que le widget fonctionne correctement.

Pour se conformer au RGPD et au CCPA, les opérateurs de sites web doivent obtenir le consentement préalable pour l’utilisation des cookies de reCAPTCHA v3. Si les utilisateurs ne l’accordent pas, reCAPTCHA v3 ne sera pas chargé. Cela les exclut effectivement de toute interaction web protégée par reCAPTCHA v3. 

Cas d’utilisation courants pour Google reCAPTCHA v3

Google reCAPTCHA v3 est couramment utilisé en tant que protection anti-bot et les abus en ligne, comme l’account takeover, la création de faux comptes et les attaques par SMS pumping. 

reCAPTCHA v3 est concrètement utilisé pour protéger les interactions web telles que les connexions, les inscriptions, la réinitialisation de mot de passe, l’autorisation de paiement, ainsi que les complétions et envois de formulaires de contact.

Les menaces en ligne suivantes peuvent être protégées par reCAPTCHA v3 :

  • Protection globale contre les bots et défense contre les attaques automatisées : Les bots sont capables de paralyser des secteurs entiers par le biais de spams, de scraping de contenu, de fausses critiques, de prises de contrôle de comptes et d’abus automatisées. reCAPTCHA v3 peut réduire ces menaces.
  • Prévention de l’account takeover : Les prises de contrôle de comptes sont un risque constant sur le web. Les connexions, les inscriptions, les complétions de formulaires doivent impérativement être protégés. reCAPTCHA v3 est une mesure de cybersécurité courante pour empêcher l’account takeover.
  • Création de faux comptes : Les faux comptes sont utilisés pour diffuser des spams et des informations erronées. Les hackers créent de fausses identités, ce qui peut avoir de graves conséquences pour les entreprises. Les faux comptes peuvent manipuler des enquêtes d’opinion, des évaluations en ligne, diffuser des informations erronées ou se livrer à des activités d’espionnage.
  • Fraude au péage par SMS et attaques par SMS pumping : La fraude au péage ou le SMS pumping implique que les hackers utilisent des bots pour envoyer des messages en masse à des numéros de service. Ce type de cyberattaque peut aller jusqu’à perturber l’ensemble du réseau d’une entreprise ou d’un service. reCAPTCHA v3 permet d’empêcher le SMS pumping de base.
  • Protection contre les transactions frauduleuses : Les transactions frauduleuses impliquent souvent l’utilisation illégale de données utilisateurs sensibles, notamment dans les environnements numériques financiers. Les fraudes à la carte et au paiement impliquant des données de carte de crédit volées entraînent chaque année des pertes financières importantes, sans compter qu’elles sont néfastes pour la confiance des clients.

reCAPTCHA v3 est-il une solution d’avenir ?

La technologie employée par reCAPTCHA v3 atteint ses limites dans un contexte où la protection anti-bot n’a jamais été aussi importante.

Google reCAPTCHA v3 utilise une méthode basée sur les signaux. En cas de comportement atypique ou imprévisible, les utilisateurs peuvent malgré leur légitimité se voir bloqués ou confrontés à des défis CAPTCHA traditionnels. Ils devront alors de nouveau cliquer sur des feux de circulation ou des voitures.

Les solutions CAPTCHA modernes sont plus adaptées aujourd’hui car elles allient expérience utilisateur et sécurité. Contrairement à reCAPTCHA v3, qui utilise des défis CAPTCHA traditionnels avec des puzzles comme solution de repli, les fournisseurs de CAPTCHA modernes ont fait un autre choix et utilisent le mécanisme cryptographique de la preuve de travail.

Des CAPTCHAs à preuve de travail (proof of work) pour une bot protection avancée

Les CAPTCHAs à preuve de travail sont les plus adaptés à une protection anti-bot avancée.

Les CAPTCHAs à preuve de travail s’adressent aux appareils (devices) et non aux utilisateurs. Ils proposent une tâche de calcul en arrière-plan qui est à la fois difficile à résoudre pour les bots, mais invisible pour les humains. Cette méthode utilise la puissance de calcul de l’appareil et permet de protéger les interactions web sans interaction directe de la part de l’utilisateur.

Avantages des CAPTCHAs Proof-of-Work

  • Bonne opérabilité : L’un des principaux avantages d’un CAPTCHA à preuve de travail est sa facilité d’utilisation ou son opérabilité. Ce type de CAPTCHA fonctionnant en arrière-plan, il offre une expérience utilisateur invisible sans interférer avec l’activité standard du site web. Les utilisateurs ne remarquent pas la présence du CAPTCHA, de sorte que leur interaction avec le site web est fluide et ininterrompue.
  • Meilleure sécurité : Du point de vue de la sécurité, un CAPTCHA à preuve de travail offre une amélioration significative de la protection contre les attaques automatisées. Ce type CAPTCHA exige des bots qu’ils effectuent des tâches qui requièrent une grande puissance de calcul, sans quoi il leur est impossible de contourner les mesures de sécurité. C’est donc une couche de sécurité supplémentaire pour la bot protection.
  • Protection de la vie privée : Les CAPTCHAs à preuve de travail n’ont pas besoin de données utilisateur pour fonctionner. Leur emploi permet de renforcer le niveau de confidentialité et aide les organisations à se conformer au RGPD ou CCPA.

 

Si les versions reCAPTCHA 3 et 2 restent une solution de base pour la protection anti-bot, l’émergence de technologies CAPTCHA modernes offre donc de nouvelles possibilités pour l’avenir de la sécurité en ligne.

Preuve de travail + signaux sur les risques

Les solutions de nouvelle génération vont encore plus loin que reCAPTCHA v3 et combinent la technologie de la preuve de travail avec une évaluation avancée des signaux de risque. Cela permet d’améliorer encore plus la sécurité des CAPTCHAs et de minimiser les faux positifs. 

Friendly Captcha est un CAPTCHA qui combine la preuve de travail et les signaux sur les risques.

Secure captcha

Qu’est-ce que Friendly Captcha ?

Friendly Captcha est une protection anti-bot respectueuse de la vie privée. Friendly Captcha intègre des mécanismes de cybersécurité avancés, tout en éliminant les défis CAPTCHAs traditionnels.

Excellente expérience utilisateur

La technologie de proof-of-work de Friendly Captcha ne nécessite aucune saisie de la part de l’utilisateur. Les utilisateurs ne sont jamais interrompus ou sommés de résoudre des énigmes manuelles, comme identifier des images ou taper des caractères déformer. Cette facilité d’utilisation améliore la satisfaction des utilisateurs et réduit le risque d’abandon lors de la soumission de formulaires ou de transactions. Cela permet par ricochet de maintenir des bons taux de conversion.

Leader pour la protection de la vie privée et des données

Le respect de la vie privée est au coeur de la conception de Friendly Captcha. Friendly Captcha fonctionne en collectant le minimum requis de données. Friendly Captcha n’utilise pas de cookies HTTP ni de stockage persistant dans le navigateur. Cette approche garantit la conformité avec les régulations sur la vie privée, telles que le RGPD et le CCPA.

L’accessibilité comme priorité

Friendly Captcha est complètement accessible, aussi pour les utilisateurs en situation de handicap (visuel, cognitif, physique). En supprimant complètement les défis CAPTCHA visuels ou interactifs, Friendly Captcha garantit un accès sans obstacle pour tous les utilisateurs. Friendly Captcha respecte les normes WCAG et est certifié WCAG 2.2 Level AA.

Haute sécurité

La technologie de preuve de travail de Friendly Captcha est très efficace contre les robots. La tâche de calcul évolutive requise est trop complexe pour être exécutée efficacement par les bots, en raison de la puissance de calcul nécessaire. Combinée aux signaux de risque qui échelonnent la difficulté de la tâche, la technologie de Friendly Captcha constitue une défense des plus solides contre les attaques automatisées.

Friendly Captcha se distingue par son approche sécurisée et respectueuse de la vie privée et par son CAPTCHA ergonomique et entièrement accessible.

La preuve de travail de Friendly Captcha garantit le plus haut niveau de sécurité sans compromettre l’expérience utilisateur ou l’accessibilité. Friendly Captcha est une alternative de CAPTCHA moderne qui remplace reCAPTCHA v3.

Conclusion : reCAPTCHA v3 est-il fait pour vous ?

reCAPTCHA v3 n’est pas la solution idéale pour une protection anti-bot moderne, 

Avec son fonctionnement basé sur les signaux, reCAPTCHA v3 représente certes une avancée dans la technologie CAPTCHA traditionnelle. Mais reCAPTCHA v3 présente des lacunes dans plusieurs domaines critiques :

  • La collecte extensive de données et l’utilisation de cookies par reCAPTCHA v3 posent des problèmes de confidentialité et de protection des données, tels que le RGPD et le CCPA.
  • Son recours à des défis CAPTCHA intrusifs basés sur l’image dans les cas de repli diminue sa promesse d’opérabilité.
  • Les limites d’accessibilité de reCAPTCHA v3, dont découle une expérience utilisateur qui peut être frustrante pour de nombreux utilisateurs.
  • L’intégration et l’administration manuelle permanente de reCAPTCHA v3 dans la Google Cloud Console sont complexes.

Le paysage de la sécurité en ligne exige des alternatives plus sophistiquées, plus faciles d’utilisation et plus respectueuses de la vie privée.

Friendly Captcha remplace reCAPTCHA v3

Friendly Captcha s’impose comme une alternative à reCAPTCHA v3 car il comblant aux lacunes de Google reCAPTCHA v3.

Grâce à sa technologie de preuve de travail, Friendly Captcha fonctionne de manière réellement invisible, assurant une protection anti-bot solide sans compromettre l’expérience utilisateur ou l’accessibilité du site web. Friendly Captcha n’opère aucune collecte de données non-nécessaires et s’aligne de fait sur les réglementations sur la vie privée, tout en favorisant la confiance des utilisateurs.

Si vous souhaitez renforcer la sécurité de votre site web tout en offrant une expérience utilisateur invisible, accessible et respectueuse de la vie privée, il est temps de reconsidérer l’utilisation de reCAPTCHA v3.

Explorez Friendly Captcha et découvrez sa protection anti-bot supérieure sans entraver la confiance de vos utilisateurs. Inscrivez-vous et essayez Friendly Captcha avec le compte d’essai gratuit de 30 jours. 

FAQ

L’utilisation de Google reCAPTCHA v3 implique une intégration côté client (frontend) et une vérification côté serveur (backend). Contrairement aux versions précédentes, reCAPTCHA v3 fonctionne en arrière-plan et fournit un score de risque (de 0,0 à 1,0) indiquant la probabilité qu’une interaction provienne d’un bot.

Si vous cherchez une solution CAPTCHA prête à l’emploi et nécessitant peu d’administration, Friendly Captcha est le bon choix. Les utilisateurs n’ont pas besoin de résoudre manuellement des défis, et les propriétaires de sites n’ont pas à définir de seuils de risque pour distinguer les bots des vraies personnes.

Oui, la fonctionnalité de reCAPTCHA v3 est disponible pour les applications mobiles, mais elle est officiellement proposée dans le cadre du SDK Mobile reCAPTCHA Enterprise pour les applications natives Android et iOS. Bien que l’API standard et gratuite de reCAPTCHA v3 soit principalement conçue pour les pages web (en utilisant JavaScript), Google propose des SDK spécifiques pour intégrer une protection invisible et basée sur un score similaire dans les applications mobiles.

Un CAPTCHA offrant la meilleure sécurité, convivialité et accessibilité WCAG est Friendly Captcha. Découvrez-en plus sur l’approche de preuve de travail (proof-of-work) de Friendly Captcha ici !

Protégez votre entreprise contre les bots.
Contactez l'équipe Friendly Captcha Enterprise pour découvrir comment vous pouvez protéger vos sites Web et applications contre les bots et les cyberattaques.
Contactez-nous ›