DataDome

50 % des reCAPTCHA réussis sont accomplis par des bots ?

Table des matières
Dernière mise à jour : 18 Jul, 2022
|
min

Les CAPTCHA traditionnels ne sont pas idéaux pour l’expérience utilisateur, mais permettent-ils (au moins) d’éloigner les bots malveillants ?

Malheureusement, pas vraiment. D’après nos données clients agrégées, 50 % des « utilisateurs » qui réussissent les reCAPTCHA sont en fait des bots. Et ce n’est pas si surprenant…

Les CAPTCHA ne sont pas censés constituer la première ligne de défense contre les bots malveillants. Lancés en 2000 comme technique d’authentification générale pour les humains, ils sont nés d’un projet de recherche à l’Université Carnegie Mellon. Les CAPTCHA traditionnels que nous connaissons et tolérons (parfois) sont facilement complétés par des bots, car ils n’ont jamais été associés à une logique de sécurité sophistiquée pour les menaces avancées et évolutives.

L’utilisation appropriée d’un CAPTCHA :

Même si les CAPTCHA ne constituent pas à eux seuls une protection suffisante contre les bots, cela ne signifie pas qu’ils ne peuvent pas être un outil utile (parmi d’autres) lorsqu’ils sont correctement intégrés à une solution complète de protection contre les bots et la fraude en ligne. Voici les points abordés dans cette publication pour mieux comprendre comment utiliser les CAPTCHA efficacement :

Lorsque vous saurez ce qu’est un CAPTCHA traditionnel, ce qu’il n’est pas et ce qu’un CAPTCHA complet idéal peut faire pour votre protection, vous serez mieux armé pour optimiser votre stratégie de sécurité.

Ce que nous entendons par les CAPTCHA « traditionnels »

Un CAPTCHA traditionnel, notamment reCAPTCHA v1 et v2, n’est pas conçu sur la base d’une logique de sécurité avancée et évolutive.

Les CAPTCHA traditionnels ne fournissent pas de boucle de rétroaction pour informer et améliorer en permanence la protection contre les bots de tous vos terminaux à travers votre application mobile, votre site web et vos API. Ils ne se servent pas non plus des informations relatives à une menace sur un site pour bloquer le même attaquant sur toutes les autres plateformes protégées.

Avantages et inconvénients des CAPTCHA traditionnels

Avantages – CAPTCHA traditionnels :

  • Ils fournissent un signal qui, s’il est combiné à de nombreux autres signaux, peut être utilisé efficacement pour détecter les bots.
  • Ils sont faciles à mettre en œuvre.
  • Ils proposent généralement une option gratuite (par exemple, reCAPTCHA est gratuit jusqu’à 1 million d’appels API/mois, puis les utilisateurs doivent passer à Enterprise, qui coûte 1 $ tous les mille appels jusqu’à 10 000 appels).

Inconvénients – CAPTCHA traditionnels :

  • Ils sont aussi souvent complétés par des bots que par des humains.
  • Ils ne fournissent pas de boucle de rétroaction aux opérateurs de plateforme ou aux solutions de gestion des bots au-delà d’un signal de réussite ou d’échec, ce qui n’est pas suffisant pour améliorer la sécurité.
  • Ils ne signalent pas les « utilisateurs »/bots ayant échoué, et ne les surveillent pas de plus près lorsqu’ils font de nouvelles requêtes.
  • Ils ne sont pas transparents dans l’utilisation des données des utilisateurs finaux, ce qui peut entraîner des problèmes de conformité.
  • Ils créent une expérience utilisateur lente et frustrante.
  • Ils sont souvent jugés inaccessibles aux personnes handicapées.

Intégration des CAPTCHA traditionnels et tiers dans la gestion des bots

DataDome a historiquement intégré sa solution de gestion des bots avec des CAPTCHA tiers, notamment GeeTest et reCAPTCHA, pour prendre en charge ses clients. À cette époque, les intégrations CAPTCHA tierces étaient la meilleure option disponible, mais chez DataDome, nous voulions mieux pour nos clients. Nous voulions améliorer certains aspects afin de renforcer la sécurité de nos clients :

  1. Nous n’avions aucun contrôle sur les sessions/requêtes lors des tests CAPTCHA gérés par un tiers lorsque nous nous appuyions sur des intégrations CAPTCHA de tiers.
  2. Le seul signal que nous (et nos clients) recevions des fournisseurs de CAPTCHA tiers était un signal de réussite ou d’échec, sans autre indication sur les interactions des utilisateurs avec le test.
  3. Les signaux reçus par DataDome de la part des CAPTCHA tiers étant limités, même les utilisateurs dont le signal était positif ne pouvaient pas être autorisés à figurer sur la liste pour le reste de leur session.

DataDome devait déjà surveiller en permanence chaque session de près pour invalider le signal de réussite en cas d’utilisation abusive ou de détournement de la session par des bots.

En définitive, si l’on se base sur le nombre de signaux de « réussite » provenant de CAPTCHA tiers qui ont ensuite été invalidés par notre solution comme faux négatifs (véritables bots), 50 % des requêtes qui passent les fournisseurs de CAPTCHA traditionnels et tiers sont en réalité des bots.

Examiner le CAPTCHA idéal

Notre nouvelle norme pour les CAPTCHA est d’équilibrer le trio formé par une bonne expérience utilisateur (notamment l’accessibilité), le respect de la confidentialité des données, et l’accent porté à 100 % sur la sécurité. Il existe plusieurs exigences techniques pour un CAPTCHA complet idéal :

Avant le CAPTCHA

Avant le CAPTCHA – Conditions préalables de la solution à activer avant qu’un utilisateur ne soit confronté à un CAPTCHA :

  1. Un nombre élevé de signaux divers traités pour décider s’il faut afficher un CAPTCHA.
  2. Des modèles de détection de l’apprentissage automatique (Machine Learning, ML) pour traiter les signaux et mettre à l’échelle de nouvelles décisions en temps réel.
  3. Une équipe SOC dédiée pour surveiller les menaces et maintenir la précision des modèles de ML.
  4. Une protection cohérente à 360° de l’ensemble des terminaux sur les applications mobiles, les sites web et les API.
  5. Des taux de faux positifs et de faux négatifs faibles et transparents pour confirmer que seuls les bots voient le CAPTCHA.

Pendant le CAPTCHA

Le CAPTCHA lui-même – À quoi doit ressembler le CAPTCHA lorsqu’il est présenté :

  1. Facile à réussir pour les humains, mais difficile à réaliser pour les bots.
  2. Spécialement conçu pour empêcher les fermes à CAPTCHA de contourner le test.
  3. Rapide à charger et à compléter pour les utilisateurs humains (qui n’attendent généralement pas plus de 3 secondes pour qu’une page se charge).
  4. Accessible en plusieurs langues aux utilisateurs humains handicapés.
  5. Respectueux de la confidentialité des données : collecte un minimum de données personnelles auprès des utilisateurs finaux et ne traite les données qu’à des fins de sécurité, sans intervention de tiers.

Feedback du CAPTCHA

Le feedback du CAPTCHA – Comment utiliser les signaux du CAPTCHA pour améliorer la sécurité en continu :

  1. Des rapports détaillés et un tableau de bord convivial pour faciliter l’analyse des menaces et du trafic.
  2. Les signaux tels que la réussite/l’échec devraient être combinés avec divers autres signaux comportementaux, statistiques et techniques et être appliqués sur toutes les plateformes et terminaux protégés en temps réel.
  3. Respectueux de la confidentialité des données : stocker toutes les données de manière sécurisée pendant une période de rétention ajustable pour garantir le respect des lois locales.

Créer notre propre CAPTCHA complet

Notre équipe a consacré du temps et des ressources pour ne plus avoir besoin qu’une tierce partie intervienne dans la protection contre les bots en créant notre propre DataDome CAPTCHA.

Développer notre CAPTCHA nous a permis de débloquer des avantages clés en matière de sécurité pour les clients de DataDome, par rapport à des outils tels que reCAPTCHA :

  1. Nous pouvons garantir la sécurité la plus complète avec un contrôle/une visibilité à 100 % sur le processus de protection contre les bots.
  2. Notre détection de l’IA surveille chaque session et chaque requête à partir du moment où la page commence à se charger (avant même qu’un utilisateur n’atteigne un CAPTCHA). Nous nous assurons donc qu’un utilisateur ne voie le CAPTCHA que si d’autres signaux (comportementaux, statistiques, etc.) indiquent qu’il s’agit d’un bot.
  3. Notre solution de gestion des bots est totalement intégrée à notre CAPTCHA et combine les signaux du CAPTCHA avec plus de 3 000 milliards d’autres signaux traités chaque jour pour informer et améliorer notre moteur de détection des bots.
  4. Les données sont traitées à la périphérie, en local, avec des options de rétention des données flexibles et adaptables pour répondre à vos exigences légales locales.
  5. Notre solution comprend une prévention des fermes à CAPTCHA, une détection améliorée des signaux et une détection intégrée des rediffusions.

Outre les nouveaux avantages en matière de sécurité, notre CAPTCHA offre également à nos clients :

  1. Plus de transparence et de visibilité pour analyser l’impact du CAPTCHA sur les conversions, l’expérience utilisateur (UX) et d’autres résultats commerciaux grâce à notre tableau de bord.
  2. Un CAPTCHA audio disponible en 13 langues pour une meilleure accessibilité.
  3. Une expérience utilisateur cohérente et stable pour les utilisateurs finaux sur le web et les appareils mobiles.
  4. Conformité de la confidentialité des données avec le RGPD, le CCPA et d’autres réglementations dans le monde entier.
Le nouveau DataDome CAPTCHA est fantastique. Il s'affiche beaucoup plus rapidement et permet des interactions plus réactives qu'avec notre CAPTCHA tiers précédent. Les bots ne peuvent pas le résoudre, mais les utilisateurs humains peuvent le faire très facilement. C'est tout ce qu'on attend d'un CAPTCHA.
Matthew Niehues, ingénieur produit, Fidelity Solutions

Une protection contre les bots avec une précision de 99,99 % et un CAPTCHA facile à utiliser et respectueux de la confidentialité.

Les cybercriminels avancés et les bots sophistiqués s’adaptent chaque jour pour trouver des moyens d’accéder à votre écosystème en ligne. Les attaques automatisées ciblent tous les terminaux (création de compte, connexion, paiement, etc.), couvrant votre application mobile, votre site web et vos API. 

Les CAPTCHA traditionnels ne sont pas sophistiqués et sont impuissants face aux menaces avancées. Avec un CAPTCHA traditionnel comme première ligne de défense, environ 50 % du trafic qui accède à votre plateforme est constitué de bots, et l’autre moitié (les utilisateurs humains) est confrontée à des ralentissements inutiles. 

DataDome, le seul système de gestion des bots et des fraudes en ligne qui promet de protéger 99,99 % de vos utilisateurs sans leur montrer un CAPTCHA, est désormais fier de proposer son propre CAPTCHA intégré. Le DataDome CAPTCHA est le premier défi anti-bot de ce type : il offre à la fois une sécurité infaillible, une expérience conviviale et le respect de la confidentialité des données partout dans le monde.

Programmez une démonstration pour le constater par vous-même.