DataDome

Comment fonctionne reCAPTCHA ? Comment est-il déclenché et contourné ?

Table des matières
Bot management Credential stuffing
Paige Tester, Director of Content Marketing
15 Dec, 2022
|
min

Le CAPTCHA a été conçu comme un moyen de distinguer les humains des bots. Créé en 2003, le terme signifie Completely Automated Public Turing test to tell Computers and Humans Apart (Test de Turing public entièrement automatisé pour distinguer les ordinateurs des utilisateurs humains). Le reCAPTCHA est la variation de CAPTCHA par Google. L’idée derrière le reCAPTCHA de Google — et en effet derrière toute la technologie CAPTCHA — est qu’il devrait être facile à résoudre pour les utilisateurs humains, mais impossible pour les bots et autres logiciels malveillants.

À quoi sert reCAPTCHA ?

reCAPTCHA a toujours été utilisé pour séparer les personnes des bots, mais lors de son lancement en 2007, il avait pour objectif secondaire de numériser les archives du New York Times et – après son acquisition par Google en 2009 – de numériser des livres pour Google Books. En fait, il s’agissait de faire appel à des personnes pour numériser des textes que les logiciels de reconnaissance optique ne pouvaient pas traiter.

De nos jours, reCAPTCHA se concentre uniquement sur la prévention des visites automatiques de pages web par des bots, le remplissage de formulaires et le spamming de forums ou de réseaux sociaux avec des commentaires. En identifiant et bloquant ces bots, reCAPTCHA aide à protéger les sites web contre le spam, les abus et les comportements indésirables.

Comment fonctionne reCAPTCHA pour détecter les activités malveillantes ?

ReCAPTCHA v3 a été lancé en 2018 et est actuellement la dernière version de la technologie. Il utilise une API JavaScript pour renvoyer un score entre 0 et 1 pour chaque requête vers une page particulière, sans interrompre l’utilisateur. Un score de 0 indique très probablement un bot, un score de 1 presque certainement un utilisateur humain.

Ainsi, reCAPTCHA v3 n’arrête pas intrinsèquement les activités malveillantes. Il ne détecte pas non plus vraiment les activités malveillantes, il renvoie simplement un score. L’idée est d’utiliser cette information pour séparer les humains des bots à l’aide d’une autre solution. Par exemple, vous pouvez décider de :

  • exiger une authentification multifactorielle pour les scores bas sur vos pages de connexion ;
  • limiter la capacité d’envoyer des messages pour les scores bas ;
  • surveiller de près les commandes effectuées à partir de requêtes avec des scores bas.

Vous pouvez également déclencher un défi reCAPTCHA v2 pour toute requête ayant un score bas dans reCAPTCHA v3. Le reCAPTCHA v2 est la case classique “Je ne suis pas un robot” que vous connaissez sûrement. Cette case implique directement l’utilisateur et sert à vérifier à nouveau si une requête provient de quelqu’un de réel ou non.

La façon dont la technologie reCAPTCHA fonctionne en coulisses pour déterminer un score ou pour décider quelle requête reçoit un défi est un mystère pour tous, sauf pour un très petit nombre d’ingénieurs de Google, car cette technologie n’est pas open-source.

Qu’est-ce qui déclenche reCAPTCHA ?

ReCAPTCHA v3 utilise un concept appelé « actions » pour identifier le trafic réel du trafic de bots. C’est une balise qui vous permet de définir les étapes clés dans le parcours de vos utilisateurs, afin que la technologie reCAPTCHA puisse apprendre ce que font les utilisateurs réguliers par rapport au trafic de bots. C’est pourquoi Google recommande d’activer reCAPTCHA v3 sur plusieurs, voire toutes les pages de votre site web.

Alors que reCAPTCHA v3 utilise l’analyse des risques et du comportement, reCAPTCHA v2 est un peu plus simple. Ses défis d’image nécessitent une compréhension contextuelle du monde que la plupart des bots ne possèdent pas actuellement, tandis que ses défis audio et textuels déforment les sons et les mots de sorte que les humains puissent toujours les comprendre, mais pas les bots. Du moins, c’est l’idée : les défis de reCAPTCHA v2 ne sont pas toujours faciles à résoudre pour les personnes, et certains sont devenus faciles à résoudre pour les bots.

Les types de reCAPTCHA v2

Checkbox reCAPTCHA

Dans reCAPTCHA v2, vous pouvez choisir entre le checkbox reCAPTCHA (une case à cocher) ou le badge invisible reCAPTCHA. Le checkbox reCAPTCHA est l’option la plus facile à intégrer : il ne nécessite que deux lignes de HTML pour être exécuté. Il fournit à l’utilisateur la case bien connue « Je ne suis pas un robot » que les utilisateurs doivent cocher.

Une fois la case cochée, l’utilisateur passera immédiatement ou, si reCAPTCHA a encore des doutes sur l’humanité d’une requête, se verra présenter un défi d’image, de texte ou audio.

Badge reCAPTCHA invisible

L’autre option de reCAPTCHA v2 est le badge reCAPTCHA invisible, qui ne nécessite pas que l’utilisateur clique sur une case, car il aura déjà cliqué sur un bouton existant sur votre site web et qui sert de case à cocher pour le reCAPTCHA.

C’est l’option la moins intrusive pour les utilisateurs, mais elle nécessite une fonction de rappel JavaScript et peut donc être un peu plus lente. Le seul indicateur que reCAPTCHA est en fonctionnement sur une page particulière avec le badge reCAPTCHA invisible est le logo « powered by reCAPTCHA » près du bouton sur lequel on doit cliquer.

DataDome-captcha

Avantages et inconvénients de reCAPTCHA

reCAPTCHA est de loin la technologie CAPTCHA la plus utilisée. Parmi les entreprises qui l’utilisent figurent Facebook, Twitter, CNN, TicketMaster et bien d’autres. Bien que reCAPTCHA offre certains avantages aux entreprises qui l’utilisent, il n’est pas dépourvu de faiblesses.

Avantages de reCAPTCHA

  • reCAPTCHA est essentiellement gratuit. Tout ce que vous avez à faire est de vous inscrire pour obtenir une paire de clés API pour votre site web. Les coûts n’entrent en jeu que lorsque vous dépassez un million d’évaluations par mois pour tous vos comptes et sites web, rendant le reCAPTCHA gratuit pour tous sauf les plus gros sites web.
  • reCAPTCHA v3 ne détériore pas visiblement l’expérience utilisateur. Contrairement à la v2, le reCAPTCHA v3 est pratiquement invisible pour les utilisateurs car il ne présente aucun défi (à moins que vous ne les configuriez vous-même). Le badge reCAPTCHA invisible de la v2 est également assez discret.
  • reCAPTCHA bloque une partie du trafic de bots. De nombreuses entreprises utilisent reCAPTCHA car il arrête les bots les plus basiques et empêche les sites web d’être inondés de spams et d’abus perpétrés par des bots simples.
  • reCAPTCHA est facile à mettre en œuvre. Il suffit de se connecter à une API JavaScript ou, dans le cas de reCAPTCHA v2, d’ajouter quelques lignes de HTML aux pages concernées. ReCAPTCHA propose également plusieurs plugins d’applications web pour faciliter l’intégration de la technologie.

Faiblesses de reCAPTCHA

  • reCAPTCHA v3 est difficile à utiliser pour les administrateurs de sites web. La technologie v3 est peut-être invisible pour les utilisateurs, mais elle met la charge sur les administrateurs de sites web de décider quand et comment bloquer les bots. Qu’est-ce qui constitue un score bas ? À quel moment faut-il lancer un défi ? Ce sont des questions extrêmement difficiles auxquelles reCAPTCHA v3 ne donne pas de réponse.
  • reCAPTCHA ne fonctionne pas si bien contre les bots. Trois chercheurs de l’Université de Columbia ont créé une attaque reCAPTCHA à faible coût qui a résolu 70,78 % de tous les défis reCAPTCHA. Les bots les plus dangereux n’ont plus aucune difficulté à contourner les reCAPTCHA ; qu’ils le fassent grâce à l’AI, à leur propre logique interne, ou via des fermes de CAPTCHA.
  • reCAPTCHA v2 est frustrant et rend le web inaccessible. Un défi reCAPTCHA v2 arrête un utilisateur net dans son parcours, souvent à un moment crucial de son parcours client, comme lorsqu’il veut se connecter, effectuer un achat ou s’inscrire à votre newsletter. L’impact du CAPTCHA sur l’expérience utilisateur n’est pas bon. De plus, les CAPTCHA rendent le web moins accessible aux personnes handicapées.
  • reCAPTCHA rend difficile le respect du RGPD. Plus le reCAPTCHA v3 collecte de données, mieux il fonctionne, mais le RGPD et d’autres cadres de protection des données exigent une base légale pour traiter les données, comme le consentement de l’utilisateur ou l’intérêt légitime. Étant donné qu’il existe des alternatives à reCAPTCHA qui collectent beaucoup moins de données et que reCAPTCHA utilise des cookies de suivi, la technologie reCAPTCHA pose problème pour toute entreprise devant adhérer à un cadre de protection des données.
  • Les utilisateurs soucieux de la protection de leur vie privée reçoivent des scores reCAPTCHA plus bas. Deux chercheurs de l’Université de Toronto ont découvert en 2019 que le reCAPTCHA v3 attribue des scores plus bas à ceux qui n’ont pas de compte Google sur leur navigateur. Si un utilisateur navigue avec un navigateur privé ou un VPN, ses scores reCAPTCHA v3 sont beaucoup plus bas que lorsqu’il n’utilise pas ces outils. Cela signifie que les utilisateurs soucieux de la protection de leur vie privée sont plus susceptibles de recevoir un défi de détection des bots lors de leur navigation.

Est-il facile pour les bots de contourner reCAPTCHA ?

Si vous avez implémenté le reCAPTCHA v3 mais n’avez pas correctement configuré vos seuils ou trouvé un moyen de bloquer les requêtes avec des scores bas, les bots peuvent accéder à vos sites web comme toute requête légitime. Mais même si vous avez implémenté le reCAPTCHA v2, il est assez facile pour les bots de contourner les défis reCAPTCHA. En fait, l’efficacité du reCAPTCHA se dégrade de plus en plus.

Les deux chercheurs de l’Université de Toronto que nous avons cités plus haut ont créé un bot qui a reçu des scores élevés sur reCAPTCHA v3, en utilisant des techniques d’apprentissage par renforcement, le bot comprenant rapidement comment se comporter pour que reCAPTCHA v3 lui attribue un score élevé. C’était il y a plusieurs années, en 2019. Aujourd’hui, l’IA et l’apprentissage automatique sont devenus exponentiellement meilleurs et plus accessibles, rendant reCAPTCHA encore plus discutable comme moyen d’arrêter les bots.

Des scientifiques de l’Institut Royal de Technologie KTH de Stockholm ont tenté une expérience similaire en 2022, où ils ont utilisé la reconnaissance d’image pour résoudre les défis d’image reCAPTCHA v2. Leur taux de réussite moyen était de 47,2 % ; près de la moitié de tous les défis ont été résolus avec succès par un bot avec reconnaissance d’image. Seriez-vous satisfait si la moitié des requêtes de bots malveillants passaient outre votre sécurité ?

Même Shuman Ghosemajumder, ancien responsable de la lutte contre la fraude aux clics chez Google, a déclaré, avec la sortie du badge reCAPTCHA v2 invisible fin 2017, que les bots très avancés peuvent toujours contourner leur technologie CAPTCHA, mais que le reCAPTCHA v2 réduit au moins la quantité de friction pour les humains légitimes par rapport à la v1.

Utilisation du puissant DataDome CAPTCHA pour la protection contre les bots

Le DataDome CAPTCHA surmonte les faiblesses de reCAPTCHA tout en améliorant ses points forts. Il s’agit du seul CAPTCHA global conforme aux règles de confidentialité et il est intégré à la solution de protection contre les bots de DataDome qui bloque tous les bots malveillants sur vos sites web, applications mobiles et API sans affecter l’expérience de l’utilisateur.

Le DataDome CAPTCHA n’exige pas que vous fixiez un seuil et que vous déterminiez vous-même le score approprié. Il s’agit plutôt d’une solution CAPTCHA sans intervention qui est dix fois plus rapide que reCAPTCHA, gère les bots autorisés, et traite un trillion de signaux par jour pour bloquer même les bots les plus avancés. Si vous souhaitez en savoir plus, demandez une démonstration dès aujourd’hui.

FAQ sur reCAPTCHA

Comment reCAPTCHA sait-il que je ne suis pas un robot ?

reCAPTCHA v3 utilise une analyse comportementale et des risques pour analyser chaque requête et déterminer laquelle est susceptible de provenir d’un bot et laquelle ne l’est pas. reCAPTCHA v2 ajoute une case à cocher pour toutes les requêtes dont il n’est pas certain. S’il n’est toujours pas sûr une fois que la case a été cochée, il peut émettre un défi d’image, audio ou de texte pour finaliser son évaluation d’une requête.

reCAPTCHA peut-il être trompé ?

Les bots trompent le reCAPTCHA tout le temps. Il n’est plus difficile de créer un bot qui peut soit contourner, soit résoudre tout ce que reCAPTCHA lui présente, que ce soit juste la surveillance passive du reCAPTCHA v3 ou les défis d’image du reCAPTCHA v2. Les bots peuvent le faire avec leur propre logique interne, avec l’aide de l’IA et de l’apprentissage automatique, ou via des fermes de CAPTCHA où un humain résout le CAPTCHA pour eux.

Quelles sont les alternatives à reCAPTCHA ?

La technologie CAPTCHA n’est utile qu’en combinaison avec d’autres stratégies pour bloquer les bots. Le DataDome CAPTCHA surpasse la technologie reCAPTCHA car il est intégré à la solution de protection complète contre les bots de DataDome. C’est une alternative à reCAPTCHA pour les entreprises qui souhaitent utiliser une technologie CAPTCHA conforme au RGPD, sécurisée et discrète pour l’utilisateur.

Comment utiliser reCAPTCHA ?

Le reCAPTCHA v3 nécessite d’intégrer une API JavaScript sur toutes les pages où vous voulez que la technologie fonctionne. Plus il y a de pages, plus la technologie est efficace. Le reCAPTCHA v2 nécessite soit d’ajouter quelques lignes de HTML si vous voulez la case à cocher, soit une API JavaScript si vous voulez le badge reCAPTCHA invisible.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés