Qu’est-ce qu’un CAPTCHA et comment ça marche ?
Vous avez forcément déjà croisé un CAPTCHA en vous connectant sur Internet. Ce test d’identification, allant d’une simple case “Je ne suis pas un robot” à un exercice de reconnaissance d’image, a pour but de faire le tri entre les utilisateurs afin de lutter contre les bots malveillants. Qu’est-ce que le CAPTCHA, et pourquoi sa fiabilité est-elle limitée ?
Sommaire
- Définition du CAPTCHA
- ReCAPTCHA, c’est quoi ?
- Comment fonctionnent les CAPTCHA ?
- Pourquoi CAPTCHA est-il utilisé ?
- Types de CAPTCHA et exemples
- Que signifie CAPTCHA invalide ?
- Inconvénients du CAPTCHA
- Comment réduire l’usage des CAPTCHA ?
- Les CAPTCHA et reCAPTCHA sont-ils suffisants pour stopper les bots malveillants ?
Définition du CAPTCHA
CAPTCHA signifie “Completely Automated Public Turing test to tell Computers and Humans Apart” (test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains). Comme son nom l’indique, le but de ce test d’identification est de déterminer si un internaute est bien humain, en vue d’empêcher l’accès au site web par des robots malveillants.
Les CAPTCHA visent donc à constituer un rempart contre les cybermenaces. Ils peuvent apparaître à l’arrivée de l’utilisateur sur un site web, lors de la soumission d’un formulaire ou d’un changement d’identifiants, et permettent d’approuver ou de rejeter automatiquement les internautes. La technologie CAPTCHA est encore massivement utilisée sur de nombreux types de sites Internet, allant des forums aux sites marchands en passant par les réseaux sociaux.
ReCAPTCHA, c’est quoi ?
ReCAPTCHA est une version plus récente de CAPTCHA, basée sur une technologie rachetée par Google en 2009. Ce format est plus avancé et plus complexe que les CAPTCHA classiques, ce qui améliore son efficacité pour repousser les bots malveillants.
La particularité de reCAPTCHA est d’intégrer des éléments visuels issus du monde réel : par exemple, des images tirées de Google Street View, ou encore des mots obtenus grâce à la numérisation de livres.
ReCAPTCHA comprend ainsi différents types de tests, incluant la reconnaissance de texte, d’image ou encore, sous sa forme la plus récente, une simple case à cocher. Certains tests reCAPTCHA sont également en mesure d’analyser le comportement et l’historique des actions de l’utilisateur pour déterminer si celui-ci est humain, sans nécessiter aucune interaction de sa part.
La plupart des tests CAPTCHA requièrent une action spécifique de la part de l’utilisateur pour garantir qu’il ne s’agit pas d’un bot. Cela peut consister en une série de lettres à identifier, des éléments spécifiques à sélectionner dans une image ou encore un problème de mathématiques à résoudre.
Un programme informatique n’étant pas en mesure de réussir ces tests, le CAPTCHA fait donc en sorte que seuls les utilisateurs humains puissent continuer à utiliser le site web normalement.
Pourquoi CAPTCHA est-il utilisé ?
Nous l’avons vu, la technologie CAPTCHA sert principalement à stopper les bots automatisés. Ces derniers peuvent être utilisés pour diffuser des malware, ou encore pour tenter de surcharger un site web dans le cadre d’une attaque DDoS. Vous pouvez également voir apparaître des CAPTCHA sur des sites traitant des données sensibles telles que des informations bancaires.
Profitez d’une navigation fluide et sécurisée au quotidien avec NordVPN.
Pourquoi Google utilise des CAPTCHAs
Afin de préserver vos informations, Google utilise les tests CAPTCHA pour assurer que vous seul soyez en mesure d’accéder à votre compte. De nombreux services en ligne, y compris Google, utilisent donc l’authentification CAPTCHA pour détecter et empêcher les cyberattaques et les prises de contrôle des comptes par les bots de spam.
Pourquoi dois-je confirmer que je ne suis pas un robot ?
Plusieurs raisons peuvent expliquer que vous voyiez apparaître la case “Je ne suis pas un robot” à plusieurs reprises :
- Vous n’avez pas sélectionné la bonne réponse : dans le cas d’un CAPTCHA par reconnaissance d’image par exemple, certains exercices peuvent être subtils et ce, même pour les utilisateurs humains. Il peut ainsi vous être demandé de sélectionner toutes les images comprenant ne serait-ce qu’une petite partie de l’objet demandé. Dans ce cas, cliquez sur le bouton permettant de rafraîchir le test pour changer de question.
- Vous utilisez un VPN : si vous utilisez un réseau privé virtuel pour sécuriser votre navigation, il peut arriver que le message “Je ne suis pas un robot” s’affiche à répétition, ce qui peut devenir agaçant. Cela est dû au fait que vous accédez probablement à un site web en même temps que d’autres internautes ayant la même adresse IP. En effet, le fonctionnement d’un VPN consiste à vous attribuer une adresse IP statique que vous partagez avec d’autres utilisateurs. Lorsque le site détecte un grand nombre de connexions à partir de la même IP, il affiche alors un CAPTCHA pour empêcher l’accès non autorisé par des bots. Pour contrer cela, il vous suffit d’utiliser une adresse IP dédiée.
Types de CAPTCHA et exemples
Depuis sa mise en place, le test CAPTCHA a beaucoup évolué et peut prendre diverses formes, allant jusqu’à devenir invisible pour les utilisateurs. Voici les exemples les plus courants de tests CAPTCHA que vous pourrez rencontrer.
CAPTCHA texte
Le CAPTCHA texte, qui est la forme de CAPTCHA la plus répandue, consiste à afficher une image représentant une série de caractères (lettres et chiffres) déformés, flous ou encore barrés par des motifs. L’utilisateur doit reconnaître ces caractères et les saisir dans le champ prévu à cet effet, puis valider.
Ce type de CAPTCHA est couramment utilisé pour soumettre des formulaires en ligne, tels que des formulaires d’inscription, de connexion ou encore de paiement.
L’idée est que l’œil humain est capable de percevoir et interpréter des caractères, même altérés, tandis qu’un robot pourra au mieux tenter de soumettre des caractères aléatoires, ce qui limite fortement ses chances de réussir le test.
Néanmoins, les bots avancés peuvent utiliser l’apprentissage automatique pour peaufiner leur “lecture” et reconnaître ces suites de lettres et de chiffres, de sorte que ces types de CAPTCHA s’avèrent de moins en moins efficaces. Par conséquent, ils sont progressivement remplacés sur la majorité des sites web par des tests plus sophistiqués.
CAPTCHA image
Le CAPTCHA basé sur une image est une autre forme classique de CAPTCHA. L’internaute est amené à reconnaître certains éléments et à cliquer dessus au sein d’une image décomposée en plusieurs carrés, généralement 9 ou 16 cases. Par exemple, on vous demandera de sélectionner toutes les cases dans l’image comprenant un feu de circulation. Si la réponse donnée par l’internaute est la même que celle donnée par la majorité des utilisateurs, elle est considérée comme correcte.
Cet exercice part du principe que l’humain est habitué à reconnaître des objets dans une grande variété de contextes différents, sous plusieurs angles, sur une photo floue, etc. Ce qui représente encore une difficulté même pour les bots les plus avancés.
CAPTCHA audio
Le CAPTCHA audio présente un enregistrement où une série de chiffres est prononcée. L’utilisateur est invité à saisir les chiffres qu’il entend, puis à valider sa réponse. L’enregistrement audio contient généralement des bruits de fond, afin d’empêcher les logiciels basés sur l’intelligence artificielle (IA) de décrypter le message prononcé.
Problème mathématique ou de lettres
Certaines formes de CAPTCHA proposent des questions simples concernant l’orthographe d’un mot ou une opération mathématique simple à résoudre. Si ces problèmes peuvent être résolus rapidement par un humain, ils demandent plus de temps à une IA. Néanmoins, ils ne sont pas pour autant impossibles à résoudre pour les bots, ce qui fait que leur usage reste assez rare.
Il arrive qu’un site web vous demande de vous authentifier par le biais d’un réseau social tel que Facebook ou Twitter afin de limiter les connexions non autorisées. L’avantage de ce moyen d’authentification est que vous pouvez bénéficier de la sécurité renforcée de ces réseaux, de la même manière que l’authentification multi-facteurs (MFA).
No CAPTCHA
Dans sa version la plus élaborée, le test CAPTCHA est capable d’analyser l’ensemble du comportement en ligne de l’utilisateur, notamment à travers les cookies stockés sur son navigateur. La plupart du temps, ces informations lui suffiront à déterminer si un utilisateur est bel et bien humain, sans avoir à lui soumettre un quelconque test d’identification.
Que signifie CAPTCHA invalide ?
Lorsqu’il vous est demandé de valider un CAPTCHA sur un site web, il peut arriver que vous rencontriez une erreur indiquant “CAPTCHA invalide” ou encore “veuillez réinitialiser votre session CAPTCHA”. Cela ne signifie pas nécessairement que vous avez fait une erreur en saisissant la réponse : il se peut simplement que le test CAPTCHA ait expiré en raison d’une session trop longue. Dans ce cas, il vous suffit de rafraîchir la page pour essayer à nouveau.
Inconvénients du CAPTCHA
Si l’authentification CAPTCHA a permis de renforcer la sécurité de nombreux sites web, elle présente néanmoins plusieurs inconvénients.
- Mauvaise expérience utilisateur : l’apparition répétée de CAPTCHA sur un site web peut interrompre la navigation et s’avérer frustrante pour les utilisateurs, les conduisant parfois à abandonner totalement la page.
- Manque d’accessibilité : tandis que la plupart des pages web tentent de rendre leur contenu plus accessible, les tests CAPTCHA classiques peuvent toujours représenter un obstacle pour certains internautes, notamment pour les personnes malvoyantes (excepté pour les CAPTCHA audio, qui sont toutefois peu courants).
- Efficacité relative : les CAPTCHA peuvent en effet être déjoués par certains bots avancés, ce qui risque de rendre cette méthode d’authentification obsolète.
Comment réduire l’usage des CAPTCHA ?
L’apparition fréquente de CAPTCHA peut être désagréable et perturber votre expérience de navigation. Heureusement, il existe une solution pour les éviter : il vous suffit d’installer une extension sur votre navigateur web.
- Pour Firefox : sélectionnez le menu hamburger en haut à droite de l’écran et sélectionnez “Modules complémentaires et thèmes”. Dans la fenêtre de recherche, tapez “Captcha” pour trouver le bon add-on.
- Pour Microsoft Edge : ouvrez le menu avec les trois points en haut à droite de l’écran. Là, sélectionnez Extensions et cliquez sur Détecter les extensions Microsoft Edge. Recherchez “Captcha” pour trouver votre module complémentaire préféré.
- Pour Google Chrome : vous pouvez trouver le module complémentaire approprié en ouvrant le Chrome Web Store et en tapant “Captcha” dans la fenêtre de recherche.
Les CAPTCHA et reCAPTCHA sont-ils suffisants pour stopper les bots malveillants ?
Malheureusement, les tests CAPTCHA ne sont pas infaillibles : comme mentionné plus haut, certains bots avancés sont aujourd’hui en mesure de les résoudre. Des programmes automatisés peuvent ainsi passer avec succès les tests de reconnaissance d’image.
Par ailleurs, certaines organisations de cybercriminels emploient des “fermes à clics” consistant à rémunérer des personnes pour résoudre des CAPTCHA et garantir l’accès aux sites web par des bots malveillants.
Pour sécuriser votre activité en ligne et assurer votre protection contre les logiciels malveillants, utilisez la fonctionnalité Protection Anti-menaces Pro de NordVPN. Celle-ci bloque instantanément le téléchargement de malwares, empêche l’accès aux sites web malveillants et élimine les traqueurs en ligne, pour une expérience fluide et sécurisée sur Internet.
NordVPN offre une navigation sécurisée et confidentielle, sans traqueurs ni malware.
Comment fonctionnent les CAPTCHA ?