DataDome

Quelle est l’efficacité du CAPTCHA ? Pourquoi il ne suffit plus à protéger contre les bots…

Table des matières
Bot management Credential stuffing
Christine Falokun, Product Marketing Manager
1 Mar, 2023
|
min

Pensez-vous que votre CAPTCHA traditionnel est un mal nécessaire ? Il peut nuire à votre expérience utilisateur, soulever des inquiétudes liées à la protection des données et ne pas arrêter les bot avancés, mais c’est un pilier de la sécurité, non ?

Faux. Continuez à lire pour découvrir les risques posés par les CAPTCHA isolés et pourquoi vos visiteurs humains ne devraient plus jamais avoir à voir un CAPTCHA !

Quelle est l’efficacité des CAPTCHA ?

On peut leur reconnaître cela : les ReCAPTCHA et autres CAPTCHA traditionnels ont protégé les contenus et les revenus des entreprises en ligne avec une efficacité acceptable pendant de nombreuses années. Mais les utilisateurs ont parlé, et malheureusement, ils les détestent.

Les CAPTCHA traditionnels ralentissent non seulement le parcours utilisateur et y ajoutent de la friction, mais ils posent également de sérieux problèmes d’accessibilité. Pour les personnes atteintes de dyslexie, de troubles visuels ou sensoriels, les défis textuels ou basés sur des images peuvent être tout simplement impossibles à résoudre.

Le reCAPTCHA qui ne demande aux utilisateurs que de cocher une case « Je ne suis pas un robot » était un peu meilleur du point de vue de l’expérience utilisateur (UX), mais les personnes utilisant un lecteur d’écran, par exemple, rencontraient encore des difficultés. Trop souvent, la détection échouait et les utilisateurs devaient effectuer une seconde étape (généralement une reconnaissance d’image) pour vérifier leur humanité.

Les CAPTCHA traditionnels tuent les conversions

Les CAPTCHA traditionnels introduisent de la friction dans le processus de conversion, car même le CAPTCHA le plus efficace reste une interruption agaçante pour les utilisateurs humains. Une personne prête à soumettre un formulaire, s’inscrire ou effectuer un achat ne souhaite pas qu’une étape supplémentaire se dresse sur son chemin, particulièrement si cela aide Google à numériser d’anciens livres ou à entraîner des logiciels de reconnaissance d’images au passage.

Dans quelle mesure les CAPTCHA traditionnels réduisent-ils les conversions ?

Difficile à dire. Il existe peu d’études récentes, peut-être parce qu’aucun marketeur digital n’a jamais formulé l’hypothèse suivante : « Et si on ajoutait un défi moche et hors sujet à tous nos formulaires pour voir si cela améliore notre business ? »

Cependant, selon Acquireconvert, lorsque l’éditeur de l’application vidéo Animoto a testé son formulaire d’inscription, le formulaire avec CAPTCHA convertissait à 48 %, contre 64 % pour la version sans CAPTCHA.

Bien sûr, rien ne garantit qu’enlever un CAPTCHA augmentera les conversions de 33 % (cela engendre en réalité très probablement d’autres problèmes). Mais garder les CAPTCHA invisibles 99,99 % du temps peut réellement améliorer l’expérience utilisateur. La question est donc : comment éliminer les CAPTCHA traditionnels sans s’exposer à du trafic bot non désiré ?

Une protection contre les bots sans afficher de CAPTCHA

La réponse est simple : une solution de protection contre les bots spécialisée et efficace. Si les humains peuvent être distingués des bots avec une précision suffisante, les CAPTCHA deviennent obsolètes — pour les utilisateurs humains. Par exemple, dans le cadre des fonctionnalités recaptcha vs DataDome, DataDome utilise un processus de détection complet qui évite aux utilisateurs humains d’avoir à faire face à des CAPTCHA frustrants :

  1. Lorsqu’un utilisateur charge une page, en quelques millisecondes, notre détection en temps réel par apprentissage automatique analyse des signaux techniques, statistiques et comportementaux pour bloquer 99 % des bots, y compris les plus récents et les plus sophistiqués, tout en laissant passer les utilisateurs humains.
  2. Ce n’est que si l’identification (bot ou humain) reste incertaine après les premières étapes de détection qu’un CAPTCHA sera présenté à l’utilisateur.
  3. Nous avons développé notre propre CAPTCHA — 100 % conçu pour la sécurité, optimisé pour l’expérience utilisateur (et l’accessibilité), et conforme aux réglementations mondiales sur la protection des données. Nos clients sont encouragés à utiliser le CAPTCHA convivial de DataDome si un utilisateur atteint cette étape.

DataDome CAPTCHA Demo Page

Bien qu’une infime minorité d’utilisateurs humains aient un comportement suffisamment inhabituel pour être considérés comme suspects, il est extrêmement rare (0,01 %) qu’un humain dépasse la première étape de détection. Mais notre objectif ultime est qu’un jour, plus aucun humain n’ait jamais à résoudre un CAPTCHA.

Il est également crucial qu’un CAPTCHA ne puisse pas être résolu par des bots. Malheureusement, le nombre de signaux de « réussite » ultérieurement invalidés par la solution DataDome comme étant de faux négatifs (des bots en réalité) révèle que 50 % des requêtes réussissant les CAPTCHA traditionnels et tiers proviennent en réalité de bots.

Chez DataDome, la sécurité des CAPTCHA repose sur deux axes principaux :

  • La lutte contre les CAPTCHA farms (usines à CAPTCHA), où des travailleurs humains sous-payés passent leurs journées à résoudre des CAPTCHA pour le compte d’opérateurs de bots.
  • La protection contre les bots reposant sur l’intelligence artificielle (IA) pour se faire passer pour des humains.

Évaluer la qualité de détection avec le rapport CAPTCHA

Un CAPTCHA résolu est le signe que votre solution de protection contre les bots a (à tort) identifié un humain comme un bot. C’est ce qu’on appelle un « faux positif ». Le taux de CAPTCHA résolus, ou taux de faux positifs, est un excellent indicateur de la qualité de l’algorithme de détection de votre solution de protection contre les bots — à condition, évidemment, que votre fournisseur choisisse de le rendre public.

Dans un souci de transparence, le tableau de bord DataDome comprend une page CAPTCHA indiquant combien de fois le CAPTCHA a été affiché, combien de visiteurs ont échoué et combien de fois il a été résolu.

Nous sommes fiers d’annoncer que notre taux de faux positifs moyen est de 0,01 %.

Mais cela ne veut pas dire que nous nous reposons sur nos lauriers. Aussi désagréable que ce soit à admettre, certains opérateurs de bots malveillants sont intelligents, et rester en avance sur eux exige des efforts constants. Notre équipe SOC bot améliore chaque jour notre algorithme pour que seuls les bots aient à voir des CAPTCHA sur les plateformes que nous protégeons.

DataDome
Christine Falokun
Product Marketing Manager
Christine D. Falokun est une spécialiste accomplie du marketing produit chez DataDome, forte d'une expérience dans la mise sur le marché de nouveaux produits, depuis les phases initiales de planification et de développement jusqu'à leur exécution et leur livraison. Passionnée par la création de récits captivants et douée pour traduire des concepts techniques complexes en messages clairs et attrayants, elle joue un rôle essentiel dans le succès des produits DataDome.

Articles liés