Un CAPTCHA est un filtre pour distinguer les humains des bots
Les CAPTCHA bloquent les robots automatisés en proposant des défis que seuls les humains peuvent résoudre, comme des puzzles d'images ou de l'analyse comportementale invisible.
Les CAPTCHAs stoppent le spam et les abus
Les CAPTCHAs protègent les sites web de la création de faux comptes, du credential stuffing, du spam de formulaire et de la surexploitation des serveurs provoquée par des bots.
Compromis sur l'expérience utilsateur
Efficaces, mais agaçants. Les CAPTCHA traditionnels frustrent les utilisateurs et soulèvent des questions relatives à la confidentialité, ce qui encourage la demande d'alternatives plus intuitives.
Friendly Captcha : développé au-delà des textes déformés
Les CAPTCHA modernes comme Friendly Captcha utilisent l'évaluation des risques et des calculs de preuve de travail (PoW) pour déjouer les robots sophistiqués. Essayer maintenant ›
Comment les CAPTCHA fonctionnent pour bloquer les bots
Un CAPTCHA est une mesure de sécurité utilisée par les sites web pour distinguer les utilisateurs humains des bots automatisés. Vous avez déjà été confronté à de tels tests lors de votre inscription à un service, de l’envoi d’un formulaire de contact, du remplissage de sondages en ligne ou de l’accès à du contenu protégé sur des pages web.
CAPTCHA est l’acronyme de « Completely Automated Public Turing test to Tell Computers and Humans Apart » (test de Turing public entièrement automatisé permettant de distinguer les ordinateurs des humains). De nombreux utilisateurs réels sont régulièrement confrontés à des tests CAPTCHA et reCAPTCHA en ligne. Ces tests aident les entreprises à prévenir les activités malveillantes des bots.
Ces défis – tels que cliquer sur des images, résoudre des puzzles ou retaper du texte déformé – sont conçus de manière à ce que les humains puissent les accomplir facilement, tandis que les scripts automatisés en sont incapables.
Comment fonctionne un CAPTCHA ?
Un CAPTCHA fonctionne en présentant des tâches qui exploitent les différences entre le comportement humain et l’automatisation des machines. Les tests CAPTCHA peuvent être facilement résolus par les utilisateurs légitimes qui souhaitent accéder au contenu web. En revanche, ils sont difficiles, voire impossibles, à résoudre pour les bots ou les programmes informatiques.
Alors que les CAPTCHA classiques (CAPTCHA textuels, CAPTCHA basés sur des images) s’appuyaient fortement sur du texte déformé, les alternatives modernes aux CAPTCHA utilisent des techniques de détection plus sophistiquées. Pour réussir le test CAPTCHA, les utilisateurs doivent interpréter le texte déformé, saisir les lettres correctes dans un champ du formulaire et valider ce dernier. Si les lettres ne correspondent pas, les utilisateurs sont invités à réessayer.
Qu’est-ce que reCAPTCHA ?
reCAPTCHA est l’un des plus anciens CAPTCHA. Des chercheurs de l’université Carnegie Mellon ont développé la technologie CAPTCHA. En 2009, reCAPTCHA a été racheté par Google.
À l’époque, reCAPTCHA était plus avancé que les tests CAPTCHA classiques. Comme les autres CAPTCHA, reCAPTCHA demandait aux utilisateurs de saisir du texte provenant d’images. Les programmes informatiques avaient du mal à déchiffrer ce texte.
Au fil des ans, Google a élargi les fonctionnalités de reCAPTCHA et les types de CAPTCHA qu’il propose. reCAPTCHA a intégré des tests plus complexes :
- reCAPTCHA v2, lancé en 2014, a remplacé les défis traditionnels de reconnaissance d’images par la simple case à cocher No CAPTCHA reCAPTCHA
- reCAPTCHA v3 est l’évolution de la version v2 qui ne nécessite aucune interaction de l’utilisateur, mais surveille en permanence son comportement pour générer un score de risque. L’analyse comportementale est conçue pour identifier les bots malveillants sans nuire à l’expérience utilisateur.
- Les CAPTCHA axés sur la confidentialité, tels que les CAPTCHA de preuve de travail, réduisent la collecte de données et le suivi.
La technologie CAPTCHA a évolué, passant de simples défis textuels à des systèmes plus complexes comme reCAPTCHA, qui utilisent l’analyse comportementale et la notation des risques. L’étape suivante vers une expérience CAPTCHA plus conviviale a été l’apparition de CAPTCHA axés sur la confidentialité, tels que les CAPTCHA de preuve de travail. Ils réduisent les pratiques de collecte de données et de suivi de Google et d’autres acteurs.
Aujourd’hui, le CAPTCHA n’est plus seulement un casse-tête : il s’inscrit dans une stratégie plus large de gestion des bots qui inclut la détection par apprentissage automatique, l’empreinte digitale et les défis adaptatifs.
Types courants de reCAPTCHA et de CAPTCHA
Fonctionnement d’un test reCAPTCHA par image
Dans les CAPTCHA par reconnaissance d’images, les utilisateurs se voient présenter 9 ou 16 images carrées et doivent identifier des objets. Les utilisateurs sélectionnent parmi des puzzles visuels les CAPTCHA contenant un objet spécifique, tel qu’un passage piéton, un bus ou un feu de signalisation. De nombreux défis reCAPTCHA fonctionnent de cette manière.
Si leur réponse correspond à celles de la plupart des autres utilisateurs ayant soumis le même test, la réponse est considérée comme correcte. L’identification d’objets dans des CAPTCHA comportant des images déformées est difficile à calculer pour les bots simples ; même les programmes d’intelligence artificielle avancés ont du mal à reconnaître des objets du quotidien en fonction du contexte.
Comment fonctionnent les tests reCAPTCHA avec une case à cocher
Avec les CAPTCHA à case à cocher, reCAPTCHA demande aux utilisateurs de cliquer sur une case à côté de la mention « Je ne suis pas un robot ». Le test CAPTCHA ne consiste pas à cliquer sur la case, mais plutôt sur les actions qui précèdent le clic sur la case à cocher.
Google reCAPTCHA vérifie, entre autres, les mouvements du curseur lorsqu’il s’approche de la case à cocher. Même les mouvements directs de la souris d’une personne réelle présentent un certain degré d’aléatoire lorsqu’on les examine de plus près. Il s’agit de mouvements infimes et inconscients que les bots ne peuvent pas imiter de cette manière. Dès que reCAPTCHA détecte ici quelque chose d’imprévisible, l’utilisateur est identifié comme un humain. De plus, Google reCAPTCHA lit les cookies stockés par le navigateur sur l’appareil ainsi que l’historique de l’appareil.
Si le comportement et les données de l’utilisateur ne semblent pas clairement humains ou artificiels, reCAPTCHA présente des tâches CAPTCHA supplémentaires, telles qu’un test de reconnaissance d’images.
Comment reCAPTCHA fonctionne sans aucune interaction de l’utilisateur
Dans la dernière version de reCAPTCHA (reCAPTCHA v3), Google peut analyser de manière globale le comportement de l’utilisateur et l’historique de ses interactions avec le contenu web. Cela permet à reCAPTCHA de déterminer si un utilisateur est un bot ou un humain sans lui présenter de tâche. Si ce suivi s’avère insuffisant, l’utilisateur se voit alors proposer une tâche reCAPTCHA classique.
Avec reCAPTCHA Enterprise, Google propose un service payant qui utilise un système de reconnaissance basé sur un score. reCAPTCHA Enterprise interagit avec le backend du client. Sur leurs sites web, des séquences d’événements JavaScript, HTML et d’authentification par jeton sont déclenchées. À partir de là, reCAPTCHA calcule un score de risque pour l’utilisateur, compris entre 0,0 et 1,0. Les propriétaires de sites web utilisent ce score reCAPTCHA pour déterminer les mesures à prendre.
Plus le score est bas, plus il est probable que le visiteur soit un bot. Un score de 1,0 indique que l’interaction est très probablement légitime et associée à un faible risque.
Fonctionnement des CAPTCHA textuels
Dans les défis CAPTCHA textuels, les utilisateurs doivent retaper des lettres ou des chiffres déformés. Ces méthodes figuraient parmi les premières méthodes CAPTCHA.
Les CAPTCHA textuels classiques demandent aux utilisateurs d’identifier du texte et des lettres déformés dans une zone de texte. Les bots simples sont peu susceptibles de résoudre les tests CAPTCHA textuels. Les utilisateurs humains doivent interpréter le texte déformé, saisir les lettres correctes dans le champ du formulaire et valider le formulaire.
Comment fonctionnent les tests CAPTCHA mathématiques ou logiques
Les tests CAPTCHA mathématiques ou logiques comprennent des équations mathématiques simples (par exemple, « Combien font 3 + 4 ? ») pour vérifier l’interaction humaine. Ils sont parfois combinés avec des CAPTCHA textuels et leur texte déformé. Les utilisateurs doivent saisir la solution pour vérifier leur identité.
Comment fonctionnent les CAPTCHA audio
Les CAPTCHA audio offrent une alternative aux CAPTCHA basés sur des images ou du texte pour les utilisateurs malvoyants. Ils comprennent un bouton destiné aux personnes souffrant d’une grave déficience visuelle, qui permet aux utilisateurs d’entendre une version audio d’un code ou d’une séquence de lettres et de chiffres.
Comment fonctionnent les CAPTCHA de type « preuve de travail »
Un CAPTCHA de type « preuve de travail » est une alternative moderne aux CAPTCHA traditionnels. Au lieu de résoudre des énigmes visuelles, le navigateur effectue une petite tâche de calcul pour prouver sa légitimité – une approche utilisée par des alternatives respectueuses de la vie privée telles que Friendly Captcha.
Les CAPTCHA reCAPTCHA et CAPTCHA suffisent-ils pour se protéger contre les bots ?
Certains bots peuvent contourner par eux-mêmes les CAPTCHA traditionnels, tels que les CAPTCHA textuels et les CAPTCHA à reconnaissance d’images. À mesure que les bots deviennent de plus en plus sophistiqués, les sites web s’appuient sur des systèmes CAPTCHA pour se protéger contre les abus automatisés.
Des chercheurs ont démontré comment écrire un programme capable de contourner également les CAPTCHA à reconnaissance d’images. De plus, les attaquants peuvent utiliser des fermes de clics pour contourner les tests : des milliers de travailleurs faiblement rémunérés résolvent des CAPTCHA pour le compte de bots.
Un CAPTCHA contribue à maintenir l’intégrité des services en ligne en
Prévenant le spam et les abus
Les CAPTCHA empêchent les bots d’inonder les formulaires, les sections de commentaires ou les pages de contact de soumissions indésirables.
Bloquant la création de faux comptes
La création automatisée de faux comptes est un facteur majeur de fraude et de manipulation des plateformes.
Protégeant les ressources serveur
Les CAPTCHA contribuent à garantir que les ressources limitées – comme les API à débit limité ou les formulaires d’inscription – ne soient pas submergées par un trafic généré par des scripts.
Renforçant la sécurité et la confidentialité
En filtrant les bots dès le début, les systèmes CAPTCHA réduisent les surfaces d’attaque pour les tentatives de force brute, le scraping et les outils de credential stuffing.
En bref, les CAPTCHA existent parce que les bots présentent des schémas d’utilisation différents de ceux des humains – et ces schémas peuvent être détectés.
Quels sont les inconvénients des CAPTCHA et des reCAPTCHA pour bloquer les bots ?
- Friction utilisateur : les tests CAPTCHA peuvent perturber l’expérience utilisateur, leur laissant une impression négative. Cela peut les amener à abandonner complètement la page web.
- Obstacles pour les malvoyants : Les CAPTCHA traditionnels reposent trop souvent sur la perception visuelle, ce qui pose les problèmes d’accessibilité courants associés au reCAPTCHA.
- Les reCAPTCHA peuvent être trompés par des bots : Le reCAPTCHA traditionnel n’est pas totalement à l’épreuve des bots et ne doit pas être utilisé comme seule solution. Les bots avancés et les modèles d’IA peuvent contourner cette technologie CAPTCHA traditionnelle.
Quels sont les avantages du code CAPTCHA ?
- Une protection efficace contre les bots pour les formulaires, les inscriptions et les pages de connexion
- Une réduction de la fraude et des abus, tels que le scalping ou les attaques par force brute
- Légers et faciles à intégrer dans la plupart des plateformes
Les solutions CAPTCHA modernes tentent de réduire les frictions, mais beaucoup s’appuient encore sur le suivi comportemental ou la collecte de données, ce qui peut soulever des préoccupations en matière de confidentialité.
Alternatives au CAPTCHA et au reCAPTCHA
Bien que le CAPTCHA reste largement utilisé, il existe plusieurs alternatives respectueuses de la vie privée ou plus accessibles :
- Systèmes de preuve de travail. Le navigateur effectue un petit calcul plutôt que de résoudre un puzzle d’images.
- Vérification par jeton. Envoyez des liens ou des codes de vérification par e-mail ou SMS.
- Contrôles biométriques ou basés sur l’appareil. Capteurs d’empreintes digitales ou vérification intégrée à l’appareil (principalement utilisés dans les applications mobiles).
- Outils de limitation de débit et de gestion des bots. Ces outils filtrent le trafic suspect avant qu’un CAPTCHA ne soit nécessaire. Friendly Captcha est un bon exemple de cette technologie axée sur la confidentialité.
Si vous avez besoin d’une alternative au CAPTCHA traditionnel qui soit conforme aux normes de confidentialité, accessible et axée sur la confidentialité, essayez Friendly Captcha et son CAPTCHA open source.
Alternatives CAPTCHA
Tout en restant largement utilisé, il existe aujourd’hui plusieurs alternatives de CAPTCHA plus respectueuses de la vie privée ou plus accessibles.
-
Systèmes de preuve de travail (PoW)
Le navigateur effectue un petit calcul plutôt que de résoudre un puzzle d’images. -
Vérification par token
Envoi de liens ou de codes de vérification par e-mail ou SMS. -
Contrôles biométriques ou basés sur des appareils
Capteurs d’empreintes digitales ou vérification intégrée à l’appareil (utilisés principalement dans les applications mobiles). -
Outils de limitation du débit et de gestion des bots
Ces outils filtrent le trafic suspect avant qu’un CAPTCHA ne soit nécessaire. Friendly Captcha est un bon exemple de cette technologie axée sur la confidentialité.
Si vous recherchez une alternative au CAPTCHA traditionnel conforme au RGPD, accessible et respectueuse de la vie privée, essayez Friendly Captcha et son CAPTCHA open source.
CAPTCHA est l’abréviation de “Completely Automated Public Turing test to tell Computers and Humans Apart.” (Test de Turing public entièrement automatisé permettant de distinguer les ordinateurs des humains)
En effet, les robots avancés et les modèles d’IA sont désormais capables de résoudre de nombreux CAPTCHA traditionnels. C’est la raison pour laquelle les systèmes ont évolué pour utiliser l’analyse comportementale et des méthodes de détection plus sophistiquées.
Les sites Web ont recours à des CAPTCHAs lorsqu’ils détectent des comportements suspects, des volumes de trafic inhabituels, ou lorsque vous accédez à des actions sensibles, comme des formulaires de connexion ou d’inscription. Les CAPTCHAs constituent une couche de sécurité essentielle pour les sites Web dans le cadre d’une stratégie globale de protection contre les robots.
Les CAPTCHAs traditionnels peuvent en effet constituer un obstacle pour les personnes souffrant de déficiences visuelles ou cognitives, mais les CAPTCHAs invisibles modernes permettent de remédier à ce problème. Friendly Captcha est une alternative invisible aux CAPTCHA certifiée WCAG (niveau AA 2.2) et entièrement accessible, qui ne crée aucune friction. Essayez-le gratuitement pendant 30 jours.
reCAPTCHA v2 affiche des défis visuels (comme la sélection d’images), tandis que la version v3 fonctionne de manière invisible en arrière-plan et attribue une note de risque en fonction du comportement de l’utilisateur. Lisez notre article détaillé sur reCAPTCHA v2 vs v3.
Les alternatives CAPTCHA comprennent les systèmes de preuve de travail (PoW), la vérification par e-mail ou SMS, les contrôles biométriques, la limitation du débit et les solutions axées sur la confidentialité, comme Friendly Captcha.
English 
German 
French 
Spanish 
Italian 
Portuguese