À un moment donné de votre navigation sur le web, vous avez probablement rencontré cette case à cocher « Je ne suis pas un robot », ces caractères déformés ou ce puzzle sans fin. Le CAPTCHA, bien que perçu comme un fardeau pour les internautes, joue un rôle essentiel dans la protection contre les bots malveillants en ligne. En effet, selon Imperva, en 2023, 32 % du trafic Internet mondial est constitué de « bad bots ». Alors, le CAPTCHA, c’est quoi ? Quels sont ses inconvénients et les alternatives plus respectueuses de la vie privée pour assurer votre sécurité en ligne ?
CAPTCHA, c’est quoi ?
Les CAPTCHA sont ces épreuves automatisées que les visiteurs d’un site web devront résoudre pour pouvoir passer à la prochaine étape de leur interaction avec le site. CAPTCHA est l’acronyme de “Completely Automated Public Turning Test to tell Computers and Humans Apart” ou Test de Turing public totalement automatisé. C’est donc un test de Turing inversé qui sert à distinguer les humains des robots nuisibles lors de la navigation.
Contrairement au test de Turing traditionnel dans lequel l’ordinateur est testé, le CAPTCHA teste les humains pour qu’ils démontrent qu’ils ne sont pas des robots. Le test est supposé présenter une tâche qu’un humain est capable de résoudre, mais très complexe pour les robots. L’objectif est d’empêcher ces derniers d’accéder au site et d’y injecter des codes malveillants.
Le CAPTCHA est donc utile en cybersécurité et vous protège des attaques courantes, notamment :
- Des spams et des trolls en limitant l’accès des spammeurs sur les forums, les commentaires et les sondages.
- De l’extraction automatisée (web scrapping) en rendant plus difficile l’extraction de données sur les sites web.
- Des attaques DDoS en filtrant l’accès aux bots sur le réseau.
- Du bourrage des données d’identification (credential stuffing) qui consiste à effectuer plusieurs tentatives de connexion sur un site avec des identifiants volés sur Internet pour pouvoir accéder au réseau.
Qu’est-ce qui déclenche un test CAPTCHA ?
Vous avez peut-être remarqué que le CAPTCHA se déclenche lorsque vous vous connectez à un site web en particulier ? Cela peut être frustrant, mais en réalité, le CAPTCHA est une mesure de sécurité supplémentaire pour s’assurer que vous n’êtes pas un bot ou un hacker essayant de prendre le contrôle de votre compte. Vous pouvez rencontrer le test CAPTCHA :
- sur les formulaires en ligne lorsque le système détecte une tentative de soumission automatisée,
- sur les sites e-commerce lorsque l’origine du trafic est suspecte,
- lorsque vous vous connectez à votre compte et que le site web détecte une activité inhabituelle, par exemple en cas de tentative de connexions répétées ou lorsque vous vous connectez depuis une adresse IP inhabituelle,
- lorsque vous utilisez un VPN : votre adresse IP étant masquée et remplacée par celle du serveur VPN, si plusieurs utilisateurs internautes se connectent en même temps au même serveur, vous aurez la même adresse IP. Pour éviter les CAPTCHA à répétition, vous pouvez opter pour une adresse IP dédiée tout en vous protégeant sur le web.
Exemples de CAPTCHA les plus courants
Texte déformé
Parmi les premiers CAPTCHA à être développés, on retrouve les CAPTCHA texte. La déformation des caractères peut rendre difficile leur reconnaissance par les bots. Tandis que l’œil humain peut facilement identifier les caractères déformés. Dans ce type de CAPTCHA, le site web vous demande de saisir une suite de lettres et de chiffres. Pour les personnes malvoyantes, le système propose un CAPTCHA audio avec un fond sonore à la place. Aujourd’hui, cette méthode est de moins en moins courante, car les bots avancés sont capables de passer ce type de test avec succès.
Sélection d’images
Dans ce cas, vous êtes invité à sélectionner toutes les images qui correspondent à un critère. Le site web peut par exemple vous demander de cliquer sur les panneaux de signalisation, les voitures ou les feux de circulation en vous montrant des images sous plusieurs angles. Ce type de CAPTCHA plus complexe est plus difficile à résoudre pour les robots.
Calculs mathématiques simples
Vous avez déjà peut-être été invité à résoudre des calculs mathématiques du type 2+6 ou 9-3 pour passer un CAPTCHA. Les robots peuvent avoir du mal à identifier la question et par conséquent à deviner la réponse correspondante. Dans une autre variante, le système peut vous demander de compléter le mot manquant parmi une liste. L’usage de ce type de CAPTCHA reste tout de même limité puisque grâce à l’apprentissage automatique, les robots peuvent être aptes à passer le test.
Coordonnées de points
Le système vous demande de cliquer sur des points spécifiques sur une image pour vous distinguer des bots. Pour les bots, ce type de CAPTCHA peut représenter un défi supplémentaire par rapport au CAPTCHA traditionnel, car il nécessite une interaction plus complexe et contextuelle avec l’interface utilisateur.
Puzzle glissant
Le système vous demande de faire glisser un puzzle ou un objet dans une position spécifique pour prouver que vous êtes humain. Tout comme le CAPTCHA coordonnées de points, ce CAPTCHA représente une complexité par rapport au CAPTCHA traditionnel.
La case “Je ne suis pas un robot”
Ce nouveau type de CAPTCHA, appelé ReCAPTCHA ou NoCAPTCHA et initié par Google, est aujourd’hui la variante la plus répandue. Google utilise des algorithmes avancés pour déterminer si une action est humaine ou non. Cette solution se présente comme la moins contraignante pour les internautes puisqu’il suffit de cocher sur la case. Si le site web n’arrive pas à déterminer si vous êtes un humain, il vous invitera tout de même à résoudre un CAPTCHA classique, généralement la sélection d’images.
Les inconvénients du CAPTCHA
Malgré leur utilité pour la cybersécurité, les CAPTCHA se présentent comme une source d’agacement pour de nombreux internautes. Ces tests peuvent sérieusement entraver la fluidité de la navigation en ligne et ternir l’expérience utilisateur.
CAPTCHA et taux de conversion
Si cela vous est déjà arrivé d’abandonner un site web après plusieurs tentatives de CAPTCHA infructueuses, sachez que vous n’êtes pas le seul. Dès 2009, la société SaaS MOZ a étudié l’effet du CAPTCHA sur les taux de conversion sur une période de 6 mois. Les résultats montrent une chute moyenne de 3.2 % lorsque les CAPTCHA sont activés, malgré une réduction de spam de 88 %.
Une perte de temps frustrante
Au-delà de la difficulté de résolution, les CAPTCHA sont perçus comme une perte de temps. Dans l’ère numérique où la rapidité est reine, devoir s’arrêter pour résoudre une épreuve peut devenir un obstacle empêchant les utilisateurs à continuer leur navigation sur le site. Selon Cloudfare, résoudre un CAPTCHA prend en moyenne 32 secondes et si un internaute rencontre un CAPTCHA tous les 10 jours, cela équivaut à environ 20 h par an pour prouver leur humanité (ou 500 jours par an pour les 4,6 milliards d’internautes à travers le monde).
Le manque d’accessibilité du CAPTCHA
Les CAPTCHA peuvent également poser des problèmes d’accessibilité pour certains groupes d’utilisateurs, notamment les personnes en situation de handicap. À cause des lettres tordues et floues, les tests CAPTCHA visuels sont, par exemple, très difficiles, voire impossibles à effectuer pour les déficients visuels. C’est aussi le cas des personnes ayant des déficiences cognitives ou des troubles d’apprentissage.
Les questions sur la protection des données
Les CAPTCHA peuvent collecter des données sur les utilisateurs, notamment les adresses IP, les horodatages et les comportements de navigation. Mais les utilisateurs sont-ils informés de cette collecte et ont-ils donné leur consentement comme le requiert le RGPD européen ?
La CNIL s’est penchée sur le sujet et indique dans sa décision MED-2020-015 du 15 juillet 2020 que l’utilisation du ReCAPTCHA de Google n’est pas conforme au RGPD si les données collectées sont utilisées à des fins autres que sécuritaire, sans le consentement de l’internaute.
En 2022, la CNIL confirme sa position et indique que ReCAPTCHA de Google n’a pas comme seule finalité la sécurisation du site web et, par conséquent, requiert le consentement des utilisateurs.
Que faire en cas de CAPTCHA invalide ?
Le CAPTCHA a pour objectif de présenter des tâches compliquées aux robots, mais les robots ne sont pas les seuls à trouver ces tâches impossibles à effectuer. Le message CAPTCHA invalide fait partie des problèmes rencontrés couramment sur Internet. C’est d’autant plus frustrant lorsque la réponse est juste, mais que le site vous demande de répéter la même opération plusieurs fois pour valider que vous êtes bien humain.
Si vous faites face au problème de CAPTCHA invalide, vous pouvez dans un premier temps recommencer le test en vérifiant bien toutes les lettres ou les images sélectionnées. Si cela ne fonctionne pas, vous pouvez essayer de rafraîchir la page. L’invalidité du CAPTCHA peut être seulement due à une session trop longue ou à plusieurs tentatives infructueuses. Si le problème persiste et que vous utilisez un VPN, vous pouvez essayer de changer de serveur pour obtenir une nouvelle adresse IP.
Quelles sont les alternatives à l’utilisation du CAPTCHA ?
Si, en tant qu’utilisateur, vous pouvez installer des extensions sur votre navigateur pour limiter les CAPTCHA, les sites web, de leur côté, peuvent mettre en place d’autres alternatives moins contraignantes et plus respectueuses de la vie privée.
Le blocage des bots par le système pot de miel
Contrairement au CAPTCHA classique qui demande explicitement à l’utilisateur de prouver qu’il n’est pas un robot, les systèmes pot de miel sont conçus pour piéger les bots avec des informations non accessibles pour les utilisateurs humains. L’idée est de créer des éléments sur une page web qui sont uniquement visibles pour les bots.
Lorsqu’un bot tente d’accéder à ces éléments cachés, il est détecté et bloqué. Par exemple, dans un formulaire de contact, vous pouvez inclure un champ invisible supplémentaire que seuls les bots peuvent remplir, car les utilisateurs humains ne peuvent pas le voir. Lorsque ce champ est rempli, vous pouvez identifier l’activité comme étant celle d’un bot et prendre des mesures pour le bloquer.
Les plugins anti-spam
Ces plugins vous protègent des spams et des commentaires indésirables en utilisant des algorithmes analysant les commentaires avant de les accepter. Lorsque l’algorithme détecte un spam, il le bloque automatiquement. Veillez à choisir un plugin qui n’intègre pas de CAPTCHA, vous avez par exemple Akismet sur WordPress.
Solutions basées sur la confiance
Une autre alternative au CAPTCHA est l’utilisation de systèmes de listes blanches d’utilisateurs approuvés. Les utilisateurs inscrits dans la liste peuvent ainsi accéder au site web sans passer par le CAPTCHA. Tandis que pour les autres utilisateurs non authentifiés ou suspects, vous pouvez mettre en place des mesures de sécurité supplémentaires.
L’authentification multi-facteur
Si votre site demande la création de compte, l’authentification multi-facteur peut renforcer la sécurité des comptes sans passer par le CAPTCHA. En utilisant plusieurs facteurs d’authentification (mot de passe, réseaux sociaux ou encore SMS), l’authentification multi-facteur rend beaucoup plus difficile pour un bot d’accéder à un compte, car il devrait compromettre plusieurs éléments simultanément, ce qui est plus complexe que la simple saisie d’un mot de passe.
Solutions alternatives de vérification d’identité
Vous pouvez par exemple utiliser la biométrie (reconnaissance faciale, empreintes digitales, reconnaissance vocale) pour réduire la nécessité du CAPTCHA. Mais pour être conforme au RGPD, cette solution requiert le consentement des usagers de votre site web.
Les CAPTCHA sont-ils suffisants pour vous protéger des bots malveillants ?
Avec l’évolution de l’intelligence artificielle, les CAPTCHA sont de plus en plus faciles à déjouer pour les robots. Dans une étude de l’université de Californie en 2023 sur 1400 personnes et 14000 tests CAPTCHA, les chercheurs ont montré que les robots sont aussi efficaces, voire plus efficaces que les humains pour résoudre les CAPTCHA.
Les robots ont réussi à résoudre correctement près de 100 % des tests CAPTCHA de texte déformé, tandis que les humains avaient une précision allant de 50 % à 84 %. En moyenne, les humains ont pris 15 secondes pour résoudre les défis, tandis que les robots ont réussi en moins d’une seconde, sauf pour le reCAPTCHA de Google où les temps étaient similaires. Malgré cela, les robots ont réussi à résoudre les CAPTCHA basés sur des images avec une précision de 85 %.
Bien qu’utile, le CAPTCHA n’est pas suffisant pour stopper les bots malveillants. Pour sécuriser vos données en ligne, vous pouvez opter pour CyberGhost VPN qui vous offre :
- Une connexion Internet sécurisée via un puissant chiffrement VPN.
- Un réseau de serveurs mondial vous permettant de choisir votre emplacement à votre guise, tant que cela respecte les conditions d’utilisation du service.
- Une bande passante illimitée pour streamer vos émissions et séries préférées et pour jouer en ligne sans restriction.
- Un service client disponible 7/24 en français pour vous assister à tout moment.
- 45 jours de garantie satisfait ou remboursé vous permettant de tester toutes les fonctionnalités du VPN.
FAQ
Pour obtenir un code CAPTCHA, il vous faudra vous inscrire sur des services comme Google ReCAPTCHA. Vous n’aurez qu’à générer un code que vous recopierez sur votre site. Même si cette solution peut être utile pour empêcher les bots malveillants de s’introduire dans votre site, elle n’est pas fiable à 100 %. Pour une protection renforcée de vos données en ligne, installez CyberGhost VPN.
Le CAPTCHA invalide peut apparaître lorsque vous avez fait une erreur dans votre réponse. Pour résoudre ce problème, vous pouvez recharger la page web. Si le problème persiste, cela peut être lié à votre adresse IP, essayez de vous connecter via un autre serveur avec CyberGhost VPN.
Si le CAPTCHA ne s’affiche pas correctement sur votre navigateur, vous pouvez essayer d’activer Javascript dans un premier temps. Si cela ne fonctionne pas, vous pouvez tester l’accès au site via un autre navigateur comme Firefox ou Opera.
Si vous rencontrez souvent la case “Je ne suis pas un robot”, cela peut être dû à des activités de connexion suspectes. Par exemple, lorsque vous utilisez un VPN, Google remarque que vous vous connectez depuis une adresse IP inhabituelle et que vous partagez l’adresse IP d’autres internautes. Pour éviter ces demandes répétées, vous pouvez opter pour une adresse IP dédiée.
Laisser un commentaire