ReCAPTCHA v2 vs. v3 : Protection efficace contre les bots ? [2024 Update]

La promesse du reCAPTCHA v3 de Google est d’empêcher le trafic de bot vers votre site web sans les points de friction que nous associons tous avec la v2. Mais le reCAPTCHA v3 tient-il sa promesse ?

Examinons en toute franchise ce que le reCAPTCHA v3 peut et ne peut pas faire pour la sécurité de votre site web. Nous allons détailler les différences entre les reCAPTCHA v2 et v3, découvrir les pièges de la paramétrisation du reCAPTCHA v3 et faire la synthèse de ce qu’un logiciel de protection et d’atténuation des attaques de bots vraiment efficace doit fournir.

Dans cet article :

• Qu’est-ce que le reCAPTCHA ?
• ReCAPTCHA v2 : difficile pour les humains, trop facile pour les bots
  • L’IA pour relever les défis du reCAPTCHA v2
  • Fermes à CAPTCHA
• ReCAPTCHA v3 : facile pour les humains, sauf les administrateurs de sites web
  • Comment fonctionne le Google reCAPTCHA v3 ?
  • Faire correspondre les scores des utilisateurs du reCAPTCHA v3 aux actions
  • Aucune boucle de rétroaction
  • Qualité de détection
• ReCAPTCHA et le respect de la confidentialité
• Les bots peuvent-ils contourner le reCAPTCHA ?
• L’alternative au ReCAPTCHA qui arrête vraiment les bots
• Questions fréquemment posées

Qu’est-ce que le reCAPTCHA?

Tout d’abord : un CAPTCHA (acronyme de « Completely Automated Public Turing Test to Tell Computers and Humans Apart ») est une mesure de sécurité destinée à différencier les bots des humains, généralement avec un test visuel ou sonore. Le CAPTCHA était un projet de recherche de Carnegie Mellon lancé pour la première fois en 2000 afin d’être une technique d’authentification à usage général pour les humains.

Destinés à une validation de très bas niveau, les CAPTCHA n’ont traditionnellement pas été couplés à une logique de sécurité. Aujourd’hui, les CAPTCHA sont largement utilisés sur Internet pour empêcher les bots de souscrire à des comptes, de spammer des commentaires et d’acheter des produits.

ReCAPTCHA est ce que Google appelle leur système CAPTCHA. Il a été lancé en 2007 et est actuellement utilisé par plus de 13 millions de sites web en direct. Malgré une certaine polémique autour de son respect de la confidentialité par rapport au RGPD et autres règlements similaires, le reCAPTCHA est le système CAPTCHA le plus utilisé à ce jour.

reCAPTCHA est-il gratuit ?

Bien que Google fasse la promotion de reCAPTCHA en tant que service gratuit, il n’est en réalité gratuit que jusqu’à un million d’appels d’API par mois. Les sites web d’entreprise qui génèrent plus d’un million d’appels par mois doivent souscrire à reCAPTCHA Enterprise.

ReCAPTCHA Enterprise coûte 1 $ pour chaque millier d’appels jusqu’à 10 millions d’appels (des frais personnalisés s’appliquent au-delà de 10 millions d’appels par mois). Donc, si votre site web génère trois millions d’appels par mois, votre facture reCAPTCHA sera de 3 000 $ chaque mois.

ReCAPTCHA v2 : difficile pour les humains, trop facile pour les bots

De nombreux sites web utilisent toujours reCAPTCHA v2, qui a été lancé en 2014. Si le comportement d’un utilisateur éveille les soupçons, le reCAPTCHA v2 imposera un test que le visiteur doit résoudre pour prouver qu’il est humain.

Nous connaissons tous les différentes versions de reCAPTCHA v2. Parfois, tout ce que vous avez à faire est de cocher une case qui dit « Je ne suis pas un robot ». D’autres fois, reCAPTCHA vous mettra au défi avec une tâche d’identification d’image ou de son. Que vous parveniez ou non à relever le défi intégral dépendra de la certitude que Google a que vous êtes vraiment un humain.

De toute façon, ne sommes-nous pas tous des ordinateurs dans une simulation ?

ReCAPTCHA v2 est basé sur un « système avancé d’évaluation des risques » qui s’appuie assez fortement sur les cookies de Google. Si quelqu’un navigue sur le web en utilisant Chrome ou est connecté à un compte Google depuis un certain temps, il devra probablement simplement cocher une case. D’autre part, un utilisateur de Firefox qui a désactivé les cookies tiers est beaucoup plus susceptible de recevoir un test difficile de détection d’image.

Tout le monde n’utilise pas Chrome et tout le monde n’est pas à l’aise avec les services de Google, sûrement parce que les gens à travers le monde sont de plus en plus nombreux à se soucier du respect de leur vie privée en ligne. (Beaucoup estiment qu’il est impossible de protéger sa vie privée en ligne.) Néanmoins, les personnes soucieuses du respect de la vie privée peuvent utiliser des navigateurs comme Firefox ou Brave, ou même un VPN pour naviguer sur Internet – mais ils feront face à des tests plus difficiles de reCAPTCHA v2, qui dégradent leur expérience utilisateur et réduisent les taux de conversion.

De plus, en raison de l’omniprésence de reCAPTCHA v2, les cybercriminels ont trouvé des solutions automatisées de plus en plus efficaces pour contourner les défis reCAPTCHA v2 les plus difficiles.

L’IA pour résoudre les défis de reCAPTCHA v2 :

Certains bots tirent parti des progrès récents en matière d’intelligence artificielle pour relever les défis de reCAPTCHA v2. Plus spécifiquement, les réseaux neuronaux avancés aident à former des modèles d’IA à résoudre automatiquement les reCAPTCHA.

C’est assez ironique : Google utilise reCAPTCHA pour former ses modèles d’IA à l’identification d’image et de son, et les cybercriminels utilisent ces avancées en IA pour battre le reCAPTCHA. Le cercle de la vie numérique !

Fermes à CAPTCHA :

Les cybercriminels peuvent également externaliser les défis reCAPTCHA en les envoyant aux travailleurs humains dans les fermes à CAPTCHA situées dans les pays à bas salaires. Grâce aux fermes à CAPTCHA, les attaquants peuvent utiliser des bots qui n’ont pas besoin d’exécuter JavaScript. Pour contourner un reCAPTCHA v2, tout ce qu’un bot a à faire est d’envoyer une demande de rappel comprenant le jeton de réponse fourni par la ferme à CAPTCHA.

Sans avoir besoin d’utiliser JavaScript, les attaquants peuvent créer des bots qui exploitent des bibliothèques de demandes HTTP simples au lieu d’avoir à utiliser des navigateurs entièrement automatisés comme Selenium ou Puppeteer avec le mode headless de Chrome. Cela réduit leur coût d’infrastructure, de sorte qu’ils peuvent explorer les pages plus rapidement ou effectuer plus de credential stuffing. Les frais qu’ils paient aux fermes à CAPTCHA sont minimes en comparaison : cela coûte environ 1 à 3 $ pour résoudre 1 000 reCAPTCHA v2.

Si vous voulez en savoir plus sur CAPTCHA vs. reCAPTCHA ou les fermes à CAPTCHA et la détection des fermes à CAPTCHA, regardez ce webinaire :

Webinaire : les fermes à CAPTCHA surpassent-elles votre site web ?

ReCAPTCHA v3 : facile pour les humains, sauf les administrateurs de sites web

Après avoir écouté certaines plaintes de ses utilisateurs, Google a développé reCAPTCHA v3 pour fournir une meilleure expérience utilisateur. À la différence de v2, les visiteurs du site web ne peuvent pas voir reCAPTCHA v3. Il n’y a aucun défi à relever. Au lieu de cela, reCAPTCHA v3 surveille en permanence le comportement de chaque visiteur pour déterminer s’il s’agit d’un humain ou d’un bot.

Actuellement, reCAPTCHA v3 est utilisé sur un peu plus de 1,2 million de sites web en direct, en comparaison avec les 10 millions de sites web qui utilisent la v2.

Comment fonctionne Google reCAPTCHA v3 ?

Pour chaque demande que fait l’utilisateur, reCAPTCHA v3 renvoie un score entre 0 et 1 représentant la probabilité que la demande provienne d’un bot. Si le score est proche de 0, il s’agit probablement d’un bot, et s’il est proche de 1, il s’agit probablement d’un humain. Comme dans la v2, les utilisateurs qui sont connectés à leurs comptes Google ou qui utilisent Chrome sont plus susceptibles d’avoir un score proche de 1.

Pour améliorer la précision du score, les administrateurs de sites web peuvent définir des actions spécifiques, telles que « envoyer une demande d’ami » ou « aller à la page d’accueil » pour aider le reCAPTCHA à comprendre comment le comportement normal des utilisateurs va varier en fonction de l’environnement. Bien que reCAPTCHA v3 améliore clairement l’expérience des utilisateurs humains en éliminant la nécessité de perturber leur navigation avec les tests de reCAPTCHA, il soulève toujours des préoccupations en matière de confidentialité et occasionne des problèmes pour les administrateurs de sites web.

Avec reCAPTCHA v2, les administrateurs n’ont qu’à vérifier si l’utilisateur a correctement résolu le défi ou non. Avec reCAPTCHA v3, les administrateurs doivent décider quelle action ils doivent effectuer en fonction du score des utilisateurs. Obtenir ce bon paramétrage est une tâche délicate, même pour le webmaster le plus expérimenté.

Faire correspondre les scores des utilisateurs de reCAPTCHA v3 aux actions :

Pour chaque action qu’un utilisateur effectue sur votre site web, vous avez trois réponses possibles :

1. Donner accès à l’utilisateur à la ressource demandée.
2. Demander à l’utilisateur de résoudre un reCAPTCHA pour déterminer s’il est humain.
3. Bloquer l’utilisateur (blocage dur).

Cela signifie que vous devez décider pour chaque action où vous souhaitez placer le seuil pour une réponse spécifique. Allez-vous bloquer l’utilisateur lorsque son score tombe en dessous de 0,25, ou allez-vous lui imposer un reCAPTCHA ? Et pour 0,15 ? Allez-vous le bloquer complètement ou est-ce que 0,10 semble plus approprié ? Que se passe-t-il si un utilisateur échoue à un test reCAPTCHA ? Il n’y a pas de réponse claire, c’est pourquoi ce sont des questions épineuses.

Plus vous fixez des seuils stricts, plus vous êtes susceptible de bloquer des utilisateurs réels. L’inverse est également vrai : plus vos seuils sont laxistes, plus vous êtes susceptible de laisser entrer les bots non détectés. Avec reCAPTCHA v3, vous devez faire un compromis désagréable entre ne pas bloquer trop d’utilisateurs et ne pas autoriser trop de bots.

Aucune boucle de rétroaction :

Le tableau de bord reCAPTCHA v3 affiche une distribution des scores utilisateur pour chaque action paramétrée sur votre site web. Cela ne suffit pas pour vous aider à déterminer si vous avez défini les bons seuils, car il n’y a pas d’autre information pour mieux comprendre les utilisateurs que vous avez bloqués ou laissé passer. Il n’y a aucun moyen d’examiner les éventuels faux positifs ou négatifs.

Il est important de tenir compte du fait qu’Internet est beaucoup plus diversifié que nous ne l’imaginons souvent. Bien sûr, la majorité de vos utilisateurs légitimes pourraient naviguer sur Internet avec Chrome, Edge ou Safari, mais qu’en est-il des 8 % environ qui ne le font pas ? Leurs scores utilisateur seront significativement plus faibles. Voulez-vous vraiment leur rendre la vie plus difficile avec un reCAPTCHA ou en les bloquant carrément ?

Définir des seuils de blocage et d’autorisation sans mécanisme de surveillance approprié s’apparente à jouer à la roulette russe avec le trafic de votre site web. Collecter, stocker et analyser suffisamment de données pour définir vos seuils avec précision nécessite une compréhension approfondie de la détection des bots et des coûts de développement logiciel importants.

Qualité de détection :

ReCAPTCHA v3 utilise la détection comportementale pour prédire si une demande donnée provient d’un humain ou non. Bien que la détection comportementale soit extrêmement utile pour détecter les bots avancés, apprendre à distinguer les bots des humains avec précision nécessite d’énormes volumes de données.

Pour prendre une décision précise, reCAPTCHA v3 a besoin de données, il a besoin d’un utilisateur pour interagir avec votre site web pendant un certain temps. Avec reCAPTCHA seul, votre site est sans défense contre les crawlers distribués à grande échelle qui tournent sur plusieurs adresses IP.

Chez DataDome, nous avons fait une expérience rapide pour déterminer si reCAPTCHA v3 utilise également des signaux basiques d’empreinte digitale côté client, et c’est le cas. Bien que la v3 puisse facilement détecter les bots « naïfs », tels que ceux qui utilisent des bots Selenium non patchés ou qui ne suppriment pas l’attribut navigator.webdriver, les bots qui falsifient leur empreinte digitale contournent facilement la détection de reCAPTCHA v3.

Nous avons créé un bot en mode headless de Chrome et utilisé le framework supplémentaire Puppeteer pour falsifier son empreinte digitale, puis lui avons demandé de faire une capture d’écran de son score reCAPTCHA v3. Il avait obtenu un score utilisateur presque « humain » de 0,9 : un intrus parfait.

ReCAPTCHA et le respect de la confidentialité

La vie privée est un droit humain fondamental, et cela inclut la navigation en ligne. Les pays du monde entier ont commencé à mettre en œuvre des réglementations axées sur la vie privée, telles que le règlement général sur la protection des données (RGPD) dans l’Union européenne. Les outils en ligne comme le reCAPTCHA devraient respecter ces règlements.

Cependant, en juillet 2020, la Commission nationale de l’informatique et des libertés (CNIL) a déterminé que reCAPTCHA de Google ne respectait pas la vie privée. Étant donné que reCAPTCHA peut collecter des données utilisateur qui sont transmises à Google pour « analyse », le RGPD stipule que les utilisateurs finaux des plateformes qui utilisent reCAPTCHA doivent être informés que leurs données sont collectées et ils doivent avoir la possibilité d’accepter ou de refuser le partage de leurs données.

Google laisse aux entreprises qui utilisent reCAPTCHA le soin d’informer et d’obtenir l’accord de leurs utilisateurs finaux, ce qui ne se produit souvent pas, comme la CNIL l’a découvert. Et puisque la finalité de la collecte de données par reCAPTCHA n’est pas précisément définie, il est difficile d’imaginer comment le consentement de l’utilisateur (même s’il est recueilli) pourrait répondre aux exigences du RGPD, à savoir être « libre, spécifique, éclairé et univoque ».

Tout comme les entreprises doivent croire que de vrais humains interagissent avec leurs plateformes, leurs clients et leurs utilisateurs finaux doivent être confiants en le fait que leurs données ne seront pas compromises.

Assurez-vous de pouvoir vous fier à toute solution ou tout fournisseur qui peut avoir un impact sur vos relations clients (y compris votre bot de gestion de la fraude en ligne et votre fournisseur de CAPTCHA) pour prioriser autant que vous le faites la vie privée de vos utilisateurs finaux.

Les bots peuvent-ils contourner reCAPTCHA ?

En bref, oui, ils peuvent le faire. Même si reCAPTCHA v2 et v3 peuvent aider à limiter le trafic de bot simple, les deux versions présentent plusieurs problèmes :

1. L’expérience utilisateur en souffre, car les utilisateurs humains détestent les tests d’identification d’image ou de son.
2. Les fermes à CAPTCHA et les progrès de l’IA permettent aux cybercriminels et aux bots avancés de contourner facilement les CAPTCHA.
3. Définir les bons seuils pour les scores utilisateur de reCAPTCHA v3 s’avère être très difficile.

Il n’y a aucun moyen de surveiller les faux positifs et négatifs. L’essentiel est que ni reCAPTCHA v2 ni la v3 ne remplacent une solution de gestion des bots appropriée.

L’alternative à ReCAPTCHA qui arrête vraiment les bots :

DataDome offre le seul CAPTCHA sécurisé, facile à utiliser et respectueux de la vie privée. Le DataDome CAPTCHA s’intègre à notre solution de protection contre les bots et la fraude en ligne, qui traite plus de 5 billion de signaux par jour pour déterminer avec une précision de 99,99 % si chaque demande provient d’un humain ou d’un bot. La solution de DataDome fonctionne pour tout : du e-commerce aux annonces publicitaires sur des applications mobiles, en passant par les sites web et au-delà. Voilà comment nous abordons chacun des problèmes susmentionnés :

Expérience utilisateur

99,99 % des utilisateurs humains ne voient pas DataDome, ce qui signifie que pour la grande majorité des humains, il n’y a aucun test à effectuer. DataDome utilise un large éventail de techniques pour distinguer les bots des personnes : l’analyse du comportement, l’analyse des empreintes digitales par les appareils, la réputation de l’adresse IP, et plus encore, en plus des signaux de notre CAPTCHA, pour s’assurer que notre détection est précise et maintient un taux de faux positifs de 0,01 %.

En fait, les clients de DataDome signalent fréquemment que leur expérience utilisateur s’est améliorée depuis la mise en œuvre de notre solution. En effet, avant d’implémenter DataDome, les bots représentaient 40 % du trafic de certains clients, ce qui pesait lourd sur leurs ressources serveur et ralentissait les performances de leurs plateformes. L’activation de DataDome permet des vitesses de chargement rapides et une expérience utilisateur fluide, car nous empêchons les bots d’inonder les serveurs de nos clients. Dans le cas rare où un utilisateur pourrait faire face au DataDome CAPTCHA, celui-ci est axé sur l’accessibilité pour les utilisateurs humains, avec des défis audio dans 13 langues différentes, bien au-delà des 8 langues de reCAPTCHA.

Fermes à CAPTCHA et détection de l’IA

La bonne approche de la détection de l’IA, avec des modèles de Machine Learning (ML) étroitement surveillés qui traitent divers signaux et mettent à l’échelle de nouvelles alertes pour ajuster la protection à tous les points d’entrée dans le monde entier, peut rendre les fermes à CAPTCHA inutiles. Par exemple, DataDome utilise les CAPTCHA de deux façons :

1. Permettre aux 0,01 % d’utilisateurs humains qui peuvent être bloqués de poursuivre leur navigation.
2. La boucle de rétroaction envoie des signaux à notre moteur de détection des menaces, qui les traite en combinaison avec 5 billion d’autres signaux comportementaux, techniques et statistiques pour déterminer avec une précision de 99,99 % si chaque demande provient d’un bot ou d’un humain.

Nous ne pensons pas qu’un CAPTCHA réussi soit une preuve indiscutable de l’humanité d’un utilisateur. Nous avons développé différentes approches pour nous assurer que les CAPTCHA sont relevés par des personnes réelles, et non par des fermes à CAPTCHA ou des réseaux neuronaux.

Chaque jour, nous invalidons des milliers de réponses CAPTCHA falsifiées.

Seuils de blocage et d’autorisation

Si vous recherchez une alternative à reCAPTCHA qui fonctionne sur pilote automatique, DataDome est là pour vous. Une fois que vous avez installé notre module côté serveur et notre SDK mobile et que vous avez autorisé les bots de vos partenaires, vous n’avez pas besoin d’ajouter d’autres logiques de détection ou de seuils. Notre moteur de détection avancé détermine si vos visiteurs sont humains ou non par lui-même, il n’y a donc pas de paramétrage complexe à effectuer.

À la différence de reCAPTCHA v3, DataDome identifie également les bons bots, tels que les bots des moteurs de recherche moins populaires, les agrégateurs de données et les bots SEO. Cela signifie que vous n’avez pas à vous inquiéter d’oublier quelque chose ou de faire une erreur et de dégrader accidentellement votre classement SEO.

Bien sûr, si vous le souhaitez, DataDome vous donne la possibilité d’ajouter une logique de détection personnalisée ou une liste d’autorisation d’une partie de votre trafic en fonction de critères tels que l’IP, le pays, l’agent utilisateur, et ainsi de suite.

Boucles de rétroaction

Grâce à notre moteur de détection avancé, DataDome (à la différence de reCAPTCHA) a un taux de faux positifs extrêmement faible : 0,01 %. Pour chaque 10 000 CAPTCHA envoyés, moins d’un est vu par un humain. Dans les rares cas où un humain voit un CAPTCHA, notre boucle de rétroaction en temps réel propage les informations à notre moteur de détection en moins de 2 millisecondes pour s’assurer que nous ne bloquons pas des humains.

Pour faire face aux faux négatifs (en laissant passer les bots), le moteur de détection de DataDome apprend en permanence les nouveaux modèles de bots en utilisant l’IA et exploite le mauvais trafic détecté sur une plateforme pour protéger tous les autres. Mais nous gardons également les humains dans la boucle : notre équipe SOC pour les bots, composée d’analystes de données, effectue des examens de trafic fréquents pour s’assurer que nous ne passons à côté d’aucun bot.

DataDome est également fourni avec un tableau de bord intuitif qui vous permet de surveiller vos principales mesures de trafic, telles que le volume et la nature des demandes de mauvais bot, le nombre de CAPTCHA envoyés, etc. Si vous souhaitez approfondir l’analyse de votre trafic, vous pouvez utiliser une demande réelle de langage pour explorer un large éventail de dimensions, telles que l’adresse IP, le pays, le type de bots bloqués, et plus encore.

Détecter les bots avancés

Chaque jour, DataDome fait face à de nouveaux bots avancés. Notre moteur de détection utilise la détection d’IA comportementale, les empreintes digitales avancées, la réputation de l’adresse IP, etc. pour nous assurer que nous détectons même les bots les plus rusés. À la différence d’autres solutions de gestion des bots qui analysent les demandes par lots, DataDome analyse chaque demande individuellement en moins de 2 millisecondes pour déterminer si elle provient d’un bot ou d’une personne.

DataDome bloquera immédiatement un bot qui aura reçu un score utilisateur de 0,9 avec reCAPTCHA v3. Notre module d’empreinte digitale peut détecter les bots avancés qui utilisent les proxys résidentiels, les empreintes digitales falsifiées, les navigateurs en mode headless automatisés avec Puppeteer modifié. Il en va de même pour la prévention des bots Playwright avancés ou des bots Selenium modifiés, même s’ils modifient le binaire ChromeDriver. Nous les arrêtons à la première demande.

En conclusion

Bien que reCAPTCHA v2 et v3 puissent aider à bloquer une partie du trafic des bots, ils ne peuvent pas arrêter les scalper bots avancés avancés, les scraper bots, les attaques DDoS, les attaques ATO, etc. Aucune des deux versions de reCAPTCHA ne doit donc être considérée comme une solution de gestion des bots appropriée, car reCAPTCHA v2 et v3 présentent les caractéristiques suivantes :

• Dégradation de l’expérience utilisateur.
• Possibilité d’entraîner de nombreux faux positifs et faux négatifs.
• Non-conformité au RGPD, la norme mondiale de confidentialité fondamentale.
• Utilisation des données de vos utilisateurs à des fins publicitaires pour leur propre organisation.
• Facilité contournée par des fermes à CAPTCHA et des bots avancés.
• Absence de mécanismes de rétroaction réels (la simple indication de réussite ou d’échec ne suffit pas à affiner votre sécurité).

Vous vous demandez comment protéger vos points d’accès sans utiliser reCAPTCHA ? La nouvelle solution DataDome CAPTCHA, axée sur l’utilisateur et respectueuse de la vie privée, est facile pour les humains, difficile pour les bots, et la seule solution de CAPTCHA orientée sécurité sur le marché aujourd’hui. Découvrez par vous-même comment cela fonctionne !

Questions fréquemment posées

Quelle est la différence entre reCAPTCHA v2 et v3 ?

ReCAPTCHA v2 demande à l’utilisateur de cliquer sur la case “Je ne suis pas un robot” et peut proposer à l’utilisateur un défi de reconnaissance d’image. ReCAPTCHA v3 fonctionne en arrière-plan et génère un score en fonction du comportement de l’utilisateur. Plus le score est élevé, plus il est probable que l’utilisateur soit humain. Un webmaster doit décider (et programmer) s’il doit bloquer, tester ou ne rien faire lorsque le score d’un utilisateur descend en dessous d’un certain seuil.

Est-ce que reCAPTCHA v3 est meilleur que la v2 ?

Aucun des deux n’est efficace pour bloquer les bots. Bien que reCAPTCHA v3 soit moins intrusif que la v2 pour un utilisateur, il impose une charge importante au webmaster pour décider quand laisser passer les utilisateurs et quand les bloquer ou les défier. Il n’y a pas de réponse correcte à cette question.

Est-ce que reCAPTCHA arrête les bots ?

ReCAPTCHA peut bloquer les bots les plus simples, mais il rend l’expérience utilisateur frustrante et ne constitue pas une protection suffisante contre les menaces de sécurité qui pèsent sur les entreprises aujourd’hui. Pour cela, vous avez besoin d’une solution de protection contre les robots.

Est-ce que reCAPTCHA peut être piraté ?

Un reCAPTCHA n’est pas tant piraté que contourné. Les fermes à reCAPTCHA et les bots avancés peuvent facilement contourner à la fois reCAPTCHA v2 et v3, car les premiers utilisent des humains pour résoudre les CAPTCHAs et les seconds sont suffisamment astucieux pour ressembler tellement à des humains que reCAPTCHA ne soupçonne jamais rien.

Que puis-je utiliser à la place de reCAPTCHA ?

Une solution avancée de protection contre les bots est l’une des seules façons de vous protéger complètement contre les menaces de sécurité actuelles. La bonne solution bloquera les bots les plus avancés et protégera vos sites web, applications mobiles et APIs contre des menaces telles que les account takeovers, le credential stuffing, le web scraping, et bien plus encore.

Est-ce que hCAPTCHA est mieux que reCAPTCHA ?

hCAPTCHA présente certains des mêmes problèmes que reCAPTCHA. Il dégrade toujours l’expérience utilisateur et ne vous protège pas adéquatement contre les fermes à CAPTCHA et les bots avancés. Tout CAPTCHA qui fonctionne en silo et est utilisé comme première ligne de défense entraînera une protection inadéquate contre les bots et une expérience utilisateur négative.

Comme reCAPTCHA, hCAPTCHA n’est pas très accessible aux personnes handicapées, telles que les utilisateurs malvoyants. Surtout sur le niveau gratuit, hCAPTCHA demande à chaque utilisateur de résoudre manuellement un puzzle. Le DataDome CAPTCHA, en revanche, comprend un CAPTCHA audio en 13 langues et a été approuvé par des associations qui militent en faveur des personnes malvoyantes.