DataDome

Qu’est-ce que invisible reCAPTCHA ? Comment choisir le bon type de reCAPTCHA

Table des matières
Bot management Credential stuffing
Paige Tester, Director of Content Marketing
6 Aug, 2023
|
min

Invisible ReCAPTCHA, no CAPTCHA reCAPTCHA, et reCAPTCHA : que sont-ils et en avez-vous vraiment besoin ?

Qu’est-ce que reCAPTCHA ?

ReCAPTCHA est un type de CAPTCHA (« Test de Turing public complètement automatisé pour distinguer les ordinateurs des humains »), un test qui a été initialement développé à la fin des années 90 et plus tard acquis par Google en 2009. Aujourd’hui, reCAPTCHA est la marque des tests CAPTCHA de Google.

La première itération de reCAPTCHA (maintenant appelée reCAPTCHA v1) est techniquement un test simple de reconnaissance d’objets assistée par l’homme (OCR) dans lequel les utilisateurs reçoivent une paire de mots, un qui pourrait être compris par un programme informatique (c’est-à-dire un bot) à l’aide d’un logiciel OCR : le mot de contrôle, et l’autre mot ne pouvant être identifié que par un humain.

Par conséquent, le test reCAPTCHA v1 suppose que si l’utilisateur identifie le mot de contrôle correctement, l’autre devrait également être correct, et c’est ainsi que le test reCAPTCHA détermine si l’utilisateur est un humain ou pas. Cette méthode CAPTCHA, qui pourrait sembler primitive aujourd’hui, était en fait une innovation impressionnante à la fin des années 90 et au début des années 2000, raison pour laquelle Google l’a achetée.

ReCAPTCHA v1 a continué d’être populaire tout au long des années 2010. En 2012, il a commencé à utiliser des photographies tirées de Google Street View et des mots scannés pour augmenter le niveau de difficulté, avant d’être mis hors service en mars 2018 au profit des versions plus récentes des tests reCAPTCHA, notamment invisible reCAPTCHA.

Qu’est-ce que invisible reCAPTCHA ?

Lorsque reCAPTCHA v1 a été mis hors service en 2018, il a été remplacé par reCAPTCHA v2.

Invisible reCAPTCHA est techniquement une version de reCAPTCHA v2, qui est livré en trois versions différentes. Voici les trois versions de reCAPTCHA v2 :

1. ReCAPTCHA v2 pour Android

Faisant partie des API SafetyNet des services Google Play, reCAPTCHA v2 pour Android est une API que vous pouvez utiliser pour protéger les applications Android du trafic de bots.

L’API reCAPTCHA v2 s’intègre directement dans les applications en configurant les services de Google Play et en se connectant au GoogleApiClient. L’API reCAPTCHA fera passer les utilisateurs à faible risque immédiatement sans aucun formulaire CAPTCHA, ce afin de préserver l’expérience de l’utilisateur et, le cas échéant, mettra au défi l’utilisateur de confirmer qu’il s’agit bien d’un humain.

2. La case à cocher “Je ne suis pas un robot.”

Probablement le type le plus familier de reCAPTCHA v2 pour la plupart des gens, cette version nécessite que l’utilisateur coche la case « Je ne suis pas un robot ».

Étant donné qu’aucun test CAPTCHA ne nous est présenté (il nous suffit de cocher la case), Google appelle souvent cette version le « no CAPTCHA reCAPTCHA ».

Bien que de premier abord très simple, Google utilise en fait différentes technologies pour déterminer si l’utilisateur qui clique sur la case à cocher est réellement un être humain. Google analyse le comportement de l’utilisateur avant, pendant et après qu’il ait cliqué sur la case à cocher, ce qui peut comprendre l’analyse de l’historique de navigation de l’utilisateur et des mouvements de la souris sur la page.

Si Google n’est pas certain que vous êtes un utilisateur humain, un test vous sera présenté, notamment le tristement célèbre test « Sélectionnez toutes les images avec… ».

3. Le invisible reCAPTCHA v2

Contrairement à la case à cocher No CAPTCHA reCAPTCHA, le invisible reCAPTCHA est seulement un badge.

Avec le badge invisible reCAPTCHA, aucune interaction avec l’utilisateur n’est nécessaire. Tout comme pour le reCAPTCHA « Je ne suis pas un robot », Google analyse l’activité de l’utilisateur, notamment ses habitudes de saisie, les mouvements de la souris et l’historique de navigation. Le reCAPTCHA peut être invoqué directement lorsque l’utilisateur clique sur un bouton natif de la page ou via un appel API JavaScript.

Comme par le passé, si Google n’est pas sûr qu’un utilisateur soit un humain, il lui sera demandé de passer un test CAPTCHA.

Est-ce que invisible reCAPTCHA est une solution parfaite ?

Non, reCAPTCHA v2, y compris invisible reCAPTCHA, n’est pas parfait.

De nombreux utilisateurs sont habitués à ce que Google leur demande soudainement de passer un test d’image reCAPTCHA v2 ennuyeux. Invisible reCAPTCHA fonctionne parfois assez bien, mais quand il ne marche pas, il peut être un cauchemar pour l’expérience utilisateur.

Les bots sophistiqués ont adopté les dernières technologies d’IA et sont maintenant assez précis dans la résolution des tests reCAPTCHA v2. Il est en fait assez ironique que Google utilise le test reCAPTCHA pour entraîner son IA de reconnaissance d’images et de sons, et que, de leur côté, les pirates utilisent la même technologie IA pour contourner le reCAPTCHA v2.

ReCAPTCHA a également du mal à surmonter les fermes CAPTCHA.

Services de ferme CAPTCHA : Le fléau de invisible reCAPTCHA

Un autre défi pour tous les CAPTCHA traditionnels, y compris invisible reCAPTCHA, c’est l’existence de fermes CAPTCHA partout dans le monde. Une ferme CAPTCHA est essentiellement une entreprise fournissant les services de travailleurs humains (généralement dans des pays à faible coût de main d’œuvre) qui résoudront les reCAPTCHAs.

Les cybercriminels et les pirates utilisent les fermes CAPTCHA de sorte que des bots même moins sophistiqués qui ne peuvent pas résoudre techniquement les reCAPTCHA puissent battre les invisible reCAPTCHA. Lorsqu’ils sont confrontés au invisible reCAPTCHA, les pirates le transmettent à la ferme CAPTCHA, des travailleurs humains de la ferme CAPTCHA résolvent le défi et renvoient la demande de rappel contenant le jeton de réponse au cybercriminel.

Le cybercriminel peut alors utiliser le jeton de réponse pour relever le défi reCAPTCHA et continuer à utiliser ses bots malveillants.

En confiant la résolution du reCAPTCHA à des fermes CAPTCHA, les cybercriminels n’ont pas vraiment besoin d’un bot sophistiqué, dont la conception et le fonctionnement sont onéreux, pour passer le reCAPTCHA. Ceci signifie que les activités cybercriminelles seront plus abordables. Les sommes qu’ils versent aux fermes CAPTCHA en contrepartie sont très faibles : certains services de ferme proposent de résoudre 1 000 défis reCAPTCHA v2 pour 1 dollar.

Datadome-captchaLe CAPTCHA sans friction de DataDome

Invisible CAPTCHA vs. reCAPTCHA v3

Les problèmes liés aux défis posés par reCAPTCHA v2, notamment le CAPTCHA invisible, ont conduit Google à développer reCAPTCHA v3, à la fois pour améliorer son efficacité et pour offrir une meilleure expérience aux utilisateurs.

ReCAPTCHA v3 est conçu de façon à être une amélioration par rapport à invisible reCAPTCHA v2 avec un concept similaire : il est totalement invisible pour les visiteurs du site et il n’y a aucun défi à résoudre. Avec reCAPTCHA v3, Google surveille en continu comment un utilisateur interagit avec un site Web pour déterminer s’il s’agit un utilisateur humain ou un bot.

Bien que le processus réel soit assez complexe, en général, le reCAPTCHA v3 surveillera toutes les requêtes faites par l’utilisateur sur un site Web particulier, et pour chaque demande, le reCAPTCHA renverra un score entre 0 et 1. Plus le score de l’utilisateur est proche de 0, plus il est probable qu’il s’agisse d’un bot, et si le score est plus proche de 1, il est déterminé comme étant un utilisateur humain.

Les interactions surveillées et la façon dont elles sont notées varient d’un site Web à l’autre. L’administrateur du site Web peut définir des actions spécifiques de l’utilisateur et des exemples d’interactions humaines normales sur une page spécifique lors de la mise en œuvre du reCAPTCHA v3 pour aider l’outil à comprendre l’écart des interactions normales de l’utilisateur sur la page.

ReCAPTCHA v3 nuit moins à l’expérience utilisateur que la v2, car ils ne sont pas tenus de relever de défis.

Cependant, reCAPTCHA v3 n’est toujours pas parfait.

Pourquoi reCAPTCHA v3 n’est pas la solution parfaite :

Bien que reCAPTCHA v3 soit actuellement la meilleure version de reCAPTCHA en termes d’expérience utilisateur, ce n’est pas une solution parfaite. En fait, il existe des cas d’utilisation où reCAPTCHA v2 et invisible reCAPTCHA sont meilleurs.

Il y a trois problèmes clés à considérer lors de la mise en œuvre de reCAPTCHA v3 sur votre site Web :

1. Score d’action utilisateur pour les webmasters.

ReCAPTCHA v3 est plus difficile à mettre en œuvre que invisible reCAPTCHA car l’administrateur de site Web doit définir le score pour chaque action possible dans toutes les requêtes potentielles. Cela peut être un problème majeur et fastidieux pour les administrateurs Web.

Pour chaque action possible sur le site Web, le webmaster doit choisir entre trois réponses possibles :

  1. Vérifier l’utilisateur en tant qu’humain et permettre ses demandes.
  2. Fournir un défi reCAPTCHA v2 pour déterminer si c’est un humain lorsque le résultat du score n’est pas définitif.
  3. Bloquer l’utilisateur immédiatement.

Par exemple, vous pouvez décider de bloquer un utilisateur lorsque le score tombe en dessous de 0,2 et proposer un défi CAPTCHA lorsque le score est entre 0,5 et 0,6. Au-dessus de 0,6, l’utilisateur peut avoir accès aux ressources demandées.

S’il y a de nombreuses actions potentielles pour le site Web, la mise en correspondance des scores aux actions peut être un processus très difficile pour les administrateurs Web, qui doivent résoudre une énigme très difficile : plus le seuil de score est strict, plus les utilisateurs légitimes risquent d’être bloqués. Plus le seuil de score est souple, plus de bots entreront.

2. Savoir si vous avez défini le seuil approprié.

Une fois que vous avez installé reCAPTCHA v3, vous recevrez des rapports concernant la distribution des scores d’utilisateur pour chaque action sur votre site Web, mais cela ne fournit probablement pas assez d’informations pour aider à comprendre si vous avez correctement défini les seuils pour chaque action potentielle.

Par exemple, vous pouvez décider d’attribuer un score inférieur aux personnes qui soumettent un formulaire trop rapidement, mais certaines personnes pensent et tapent réellement très vite, donc quelle vitesse est trop rapide pour un humain ? De même, les bots peuvent délibérément ralentir leurs opérations pour tromper l’analyse.

Il est essentiel de collecter et d’analyser suffisamment de données provenant d’un large éventail d’utilisateurs avant qu’il ne soit possible de définir les seuils avec précision. Le processus en lui-même peut être très coûteux et difficile.

3. Précision.

ReCAPTCHA v3 s’appuie sur l’analyse du comportement d’un utilisateur pour prévoir si l’utilisateur est un utilisateur humain ou un bot. Cependant, pour faire cela, reCAPTCHA v3 nécessiterait un grand volume de données comportementales utilisateur pour « s’enseigner » sur le processus des interactions humaines normales sur le site Web.

Avant que le reCAPTCHA v3 ne collecte suffisamment de données, il s’appuiera sur une approche d’empreinte digitale de base côté client, et pendant cette période, les bots peuvent contourner la détection de reCAPTCHA v3 relativement facilement.

Comment choisir le bon type de reCAPTCHA

Il n’existe pas actuellement de reCAPTCHA parfait.

V3 est techniquement la version reCAPTCHA la plus sûre, mais c’est également la plus difficile à mettre en œuvre, et elle nécessite que les administrateurs Web prennent les bonnes décisions vis-à-vis du score de chaque action utilisateur.
Invisible reCAPTCHA et reCAPTCHA v2 en général sont beaucoup plus faciles à mettre en œuvre, mais ce ne sont pas des solutions idéales au niveau de l’expérience utilisateur, la confidentialité des données ou la sécurité.

De ce fait, lorsque vous explorez reCAPTCHA, envisagez également de considérer des alternatives à reCAPTCHA.

À retenir : reCAPTCHA vs. Solution de gestion de robots

Bien que le reCAPTCHA v2 invisible et reCAPTCHA v3 puissent aider à protéger votre site contre le trafic de bots, ils ne devraient pas être votre première ligne de défense, puisque les bots les plus sophistiqués contourneront les CAPTCHA traditionnels.

Si vous voulez vraiment protéger votre site contre les activités de bots malveillants, la solution de protection contre les bots et la fraude en ligne de DataDome intègre maintenant le premier CAPTCHA entièrement sécurisé et respectueux de la vie privée. Notre CAPTCHA intégré protège des centaines de sites web et d’applications dans divers secteurs, en tirant parti de l’apprentissage automatique avancé et de nos modèles de détection de données complets. Nous déployons sélectivement des CAPTCHAs uniquement sur le segment de trafic identifié comme des bots automatisés, préservant ainsi une expérience fluide pour les utilisateurs authentiques.

Pour offrir une couche de détection alternative et bloquer efficacement les bots malveillants tout en préservant une expérience utilisateur fluide, DataDome propose un défi invisible appelé Device Check. Ce nouveau défi fonctionne comme un CAPTCHA mais sans aucun défi visible ou interactif pour l’utilisateur final.

L’utilisation de différents signaux en parallèle du CAPTCHA aide à garantir que vos sites web, applications mobiles et/ou API sont protégés contre les acteurs malveillants—sans afficher de CAPTCHAs à vos utilisateurs réels.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés