112830011567
Signal-What-Is-CAPTCHA-and-How-Does-It-Work-Hero

Écrit par Danielle Bodnar
Publié le 5 April 2023

Qu’est-ce que le CAPTCHA ?

CAPTCHA (qui signifie « Completely Automated Public Turing Test to Tell Computers and Humans Apart », c’est-à-dire « Test de Turing public entièrement automatisé »), est un type de test conçu pour distinguer les humains des robots. Les CAPTCHA sont une mesure de sécurité utilisée pour empêcher les robots d’indexation (également appelés « bots »), de commenter, de soumettre des formulaires ou de spammer des sites Web de toute autre manière.

Cet article contient :

    Il existe différents types de tests CAPTCHA : un texte déformé dans une image, une série d’images ou même un texte dicté dans un fichier audio. Les CAPTCHA ont évolué dans un souci d’accessibilité et pour s’adapter à la sophistication croissante de la technologie des bots.

    À quoi servent les CATCHA ?

    Les CAPTCHA sont utilisés pour vérifier que l’utilisateur qui tente d’accéder à un site Web est bien un être humain et non un bot. Les sites Web qui utilisent la technologie CAPTCHA visent à empêcher les robots de perturber leurs sites et d’utiliser des fonctions de manière inappropriée.

    Voici quelques exemples d’utilisation des codes CAPTCHA :

    • Pour les achats en ligne

    • Pour accéder aux zones sécurisées d’un site Web

    • Lors de la collecte d’inscriptions par courrier électronique (pour garantir l’authenticité des listes d’adresses e-mail)

    • Pour vérifier l’exactitude des sondages et des enquêtes (pour s’assurer que seuls les votes humains sont comptabilisés)

    Le CAPTCHA permet également d’empêcher les spammeurs et les pirates d’insérer des malwares dans les formulaires en ligne. Les CAPTCHA sont donc également utilisés pour se défendre contre les types de menaces en ligne suivants :

    Si la question du CAPTCHA, « Êtes-vous un robot ? », peut sembler inutile, elle remplit une fonction essentielle en matière de sécurité.

    L’histoire du CAPTCHA

    L’histoire du CAPTCHA commence avec le test de Turing, créé en 1950 par Alan Turing. Turing voulait savoir si les machines pouvaient penser ou apparaître comme des humains. Le test consistait en une série de questions auxquelles un humain et une machine devaient répondre. Si la personne posant les questions ne parvenait pas à faire la différence entre les réponses humaines et celles de la machine, cette dernière avait réussi le test.

    Avec l’adoption massive d’Internet dans les années 1990, la distinction entre les machines et les humains est devenue plus qu’une simple expérience de pensée. Le système CAPTCHA a été inventé en 1997 pour mettre fin aux abus de soumission d’URL au moteur de recherche AltaVista. Son déploiement a permis de réduire de 95 % le nombre d’envois de spam.

    Cependant, le système n’a été nommé CAPTCHA qu’en 2003, lorsque Luis von Ahn, co-créateur de Duolingo et fondateur de reCAPTCHA, a inventé le terme.

    Comment fonctionne le CATCHA ?

    Le CAPTCHA fonctionne en invitant les utilisateurs à accomplir un défi ou une tâche rapide pour prouver qu’ils sont humains. Ces tâches sont conçues pour être impossibles à réaliser par un bot. Le CAPTCHA compare ensuite les réponses de l’utilisateur aux réponses de son système. Si les réponses correspondent, l’utilisateur peut continuer.

    Qu’est-ce qui provoque le lancement d’un test CAPTCHA ?

    De nombreux sites Web proposent des tests CAPTCHA qui se déclenchent lorsque les utilisateurs accèdent à certains points d’accès du site. Mais parfois, le comportement de l’utilisateur lui-même peut déclencher un test CAPTCHA, surtout s’il ressemble à celui d’un robot.

    Un test CAPTCHA peut se déclencher si :

    • L’adresse IP d’un utilisateur a été identifiée comme étant celle d’un bot.

    • Les styles ou les images ne sont pas chargés sur une page Web.

    • Plusieurs tentatives de chargement d’une page sont effectuées.

    • Un utilisateur n’est pas connecté à Google.

    • Le système détecte un comportement étrange relatif aux clics, l’absence de mouvement de la souris ou un clic de case à cocher parfaitement centré.

    • Le navigateur d’un utilisateur n’affiche aucun historique de navigation.

    • Un utilisateur échoue au premier test CAPTCHA.

    Types de CAPTCHA

    Différents types de tests CAPTCHA ainsi que les meilleures pratiques ont évolué depuis la création du test. Il existe aujourd’hui de nombreux types de tests CAPTCHA.

    Voici quelques-uns des différents types de tests CAPTCHA utilisés aujourd’hui :

    CAPTCHA textuel

    Le CAPTCHA textuel est le type de CAPTCHA le plus basique. Ce CAPTCHA se présente sous la forme d’une séquence de lettres et de chiffres, qui peuvent s’afficher de différentes manières :

    • Gimpy Text CAPTCHA sélectionne un nombre aléatoire de mots à partir d’un lexique de 850 mots et les présente sous une forme déformée.

    • EZ-Gimpy ne déforme qu’un seul mot.

    • Gimpy-r choisit des lettres au hasard, les déforme et ajoute un fond brouillé.

    • HIP de Simard sélectionne des lettres et des chiffres au hasard et les déforme à l’aide d’arcs et de couleurs.

    Image d’un test CAPTCHA textuel, avec une série de lettres déforméesSource : Wikimedia Commons

    De nombreux sites Web utilisent des CAPTCHA textuels, que l’on retrouve souvent dans les sondages en ligne.

    CAPTCHA audio

    Le CAPTCHA audio a été développé pour les utilisateurs malvoyants, car le texte de remplacement ne peut pas être utilisé dans les CAPTCHA visuels. Ce type de CAPTCHA est un enregistrement audio d’une série de lettres et de chiffres. Lorsque l’enregistrement est diffusé, les utilisateurs doivent écouter pour saisir la séquence correctement. Les CAPTCHA audio ont tendance à être difficiles à comprendre pour les humains comme pour les ordinateurs. Ils désavantagent les utilisateurs malentendants.

    Consultez cet article d’Ars Technica pour voir à quoi ressemble un CAPTCHA audio.

    CAPTCHA d’image

    Les CAPTCHA d’images, ou tests d’images CAPTCHA, ont été développés pour remplacer les CAPTCHA textuels à mesure que les ordinateurs s’amélioraient pour déchiffrer les codes.

    Les CAPTCHA d’images fonctionnent en montrant à l’utilisateur un ensemble d’images et en lui demandant d’identifier une caractéristique (telle qu’une orientation particulière) ou un élément (tel que des feux de signalisation) présent dans certaines images, mais pas dans toutes. Ce type de CAPTCHA offre une sécurité plus avancée, mais désavantage les utilisateurs malvoyants. Voici un article de Vox qui en dit plus sur les CAPTCHA d’images.

    CAPTCHA de mots ou de mathématiques

    Les CAPTCHA de mots requièrent des connaissances en lecture et en écriture, car les utilisateurs doivent saisir le mot manquant dans une phrase donnée ou compléter une séquence de termes apparentés pour passer à la page suivante.

    Certains CAPTCHA de mathématiques demandent aux utilisateurs de résoudre un problème mathématique. Ceux-ci sont généralement simples mais générés de manière aléatoire, ce qui complique la tâche des bots de base qui doivent deviner la réponse. Parfois, les chiffres sont présentés de manière déformée et difficile à lire, à l’instar des CAPTCHA textuels, afin de compliquer l’interprétation par les bots.

    Un test CAPTCHA mathématique, avec une simple équation mathématique présentée dans une image déforméeSource : Wikimedia Commons

    Autres types de CAPTCHA populaires

    Il existe d’autres types de tests CAPTCHA, dont certains ressemblent à peine à des tests.

    Les CAPTCHA basés sur le temps mesurent le temps nécessaire à l’utilisateur pour saisir des informations. Si un formulaire est rempli trop rapidement, ce qui peut indiquer le travail d’un bot, l’utilisateur est bloqué.

    Les CAPTCHA de type puzzle impliquent généralement un mouvement de glisser-déposer pour aligner des formes dans un puzzle. Ils ont été conçus pour être rapides et accessibles aux humains dans de nombreuses régions, et difficiles à réaliser pour les bots.

    Les CAPTCHA de type puzzle sont rapides et accessibles pour les humains, difficiles à effectuer pour les robots.

    Un autre test très répandu consiste à demander à l’utilisateur de cocher une case indiquant « Je ne suis pas un robot » Secrètement, ce test CAPTCHA suit les mouvements de l’utilisateur pour voir s’ils ressemblent davantage à ceux d’un robot ou d’un humain.

    Authentification unique pour les réseaux sociaux

    L’authentification unique (SSO) pour les réseaux sociaux est un autre type de CAPTCHA, plus subtil. Avec ce type de CAPTCHA, les utilisateurs sont invités à se connecter à un compte de réseau social. La fonctionnalité d’authentification unique est alors utilisée pour remplir automatiquement les données de l’utilisateur. Si le formulaire est rempli rapidement, l’utilisateur a prouvé qu’il est un être humain en montrant qu’il dispose d’un compte de réseau social légitime.

    Une page d’authentification unique, avec la possibilité de se connecter via LinkedIn, Facebook ou Google

    Qu’est-ce que No CAPTCHA reCAPTCHA ?

    No CAPTCHA reCAPTCHA a été développé par Google pour contrer les bots avancés capables de résoudre les tests CAPTCHA conventionnels. Il facilite également la vie des utilisateurs en leur permettant de confirmer qu’ils ne sont pas des robots d’un simple clic.

    La première version de reCAPTCHA utilise du texte et des images du monde réel, par exemple des images issues de Google Street View, ou des textes de livres scannés par Google, pour vérifier que l’utilisateur n’est pas un robot.

    No CAPTCHA reCAPTCHA est une méthode plus sophistiquée qui suit l’activité de l’utilisateur lorsqu’il coche la case « Je ne suis pas un robot ». La technologie peut également évaluer les cookies stockés sur le navigateur de l’utilisateur, ainsi que l’historique de l’appareil, afin de déterminer si l’utilisateur est un robot. Si elle ne peut pas vérifier avec certitude que l’utilisateur est un être humain, elle charge une image CAPTCHA conventionnelle.

    Google utilise reCAPTCHA pour plusieurs de ses services, notamment :

    • L’inscription à un service Google

    • La création d’un compte G Suite
    • La modification du mot de passe d’un compte existant

    • La configuration des services Google sur un appareil tiers, tel qu’un iPhone

    Les tests reCAPTCHA de Google sont en constante évolution ; une troisième version est actuellement disponible. La dernière version ne nécessite aucune saisie de la part de l’utilisateur, ce qui signifie qu’il n’y a pas d’interruption. Le programme calcule un score en fonction du comportement et de l’historique de l’utilisateur. En fonction du score, le propriétaire du site Web a la possibilité d’autoriser l’accès ou de déployer un test différent.

    Une fenêtre contextuelle No CAPTCHA reCAPTCHA avec le texte « Je ne suis pas un robot » et une case à cocher à côté

    Quel est le degré de sécurité des CAPTCHA ?

    Les CAPTCHA sont généralement sûrs, mais sont tout de même vulnérables au piratage. Les CAPTCHA permettent d’empêcher les robots, y compris les robots malveillants, d’accéder aux sections sensibles d’un site ou de générer des messages de spam.

    Étant donné que les reCAPTCHA modernes déterminent si l’utilisateur est un robot en suivant son comportement de navigation, cela peut constituer une intrusion dans la vie privée de l’utilisateur. Le hCAPTCHA, axé sur la protection de la confidentialité, est sans doute une alternative plus sûre que le reCAPTCHA. Le hCAPTCHA s’appuie sur les réactions instantanées des utilisateurs à un simple test CAPTCHA et ne recueille pas de données.

    Et si le CAPTCHA permet d’arrêter les robots et d’améliorer notre sécurité, il n’empêche pas le suivi en ligne et la collecte de vos données par des tiers. Pour cela, vous devez utiliser un VPN, en particulier lorsque vous naviguez sur des réseaux Wi-Fi publics. Un VPN vous aide à préserver la confidentialité de votre activité en ligne et de votre adresse IP. Vous pouvez même installer un VPN sur votre téléphone portable, afin de rester protégé pendant vos déplacements.

    Avantages du CAPTCHA

    L’ajout d’un CAPTCHA à un site Web présente de nombreux avantages. Tout d’abord, les CAPTCHA contribuent à améliorer la sécurité générale des sites Web. Un CAPTCHA efficacement mis en œuvre empêche les logiciels robots malveillants d’envoyer des requêtes, protégeant ainsi les sites Web contre les malwares et les attaques DDoS. Le CAPTCHA permet également de préserver l’intégrité des données, en protégeant les résultats d’activités telles que les sondages en ligne.

    Les CAPTCHA améliorent également la sécurité des achats en ligne, empêchent les faux enregistrements ou fausses inscriptions sur les sites Web, protègent les adresses e-mail contre les escrocs et le courrier indésirable. De plus, le CAPTCHA est facile à mettre en œuvre et gratuit, de sorte que n’importe quel site Web peut le mettre en place.

    Inconvénients du CAPTCHA

    Bien entendu, le CAPTCHA présente des inconvénients. Il y a le défi permanent du progrès technologique : les bots s’améliorent sans cesse pour réussir les tests CAPTCHA. De plus, l’émergence d’une technologie d’IA générative telle que ChatGPT pourrait permettre aux robots de contourner plus facilement les tests CAPTCHA.

    En outre, les services CAPTCHA peuvent perturber l’activité d’un utilisateur, affectant la qualité de l’expérience utilisateur sur un site. Le CAPTCHA peut également ne pas être pris en charge par tous les navigateurs. Les CAPTCHA ne sont pas non plus accessibles à tous : les utilisateurs malvoyants sont souvent incapables de répondre aux CAPTCHA basés sur des images.

    Il existe également des extensions de navigateur qui vous permettent de contourner les CAPTCHA (nous vous recommandons de ne pas utiliser ces plug-ins, car ils peuvent présenter un risque de sécurité). Les reCAPTCHA plus récents impliquent un suivi de votre activité de navigation dans une certaine mesure au moins : il reste donc important d’utiliser des outils de sécurité supplémentaires, comme un VPN, pour protéger vos données et votre confidentialité.

    Sécurisez vos données personnelles avec un VPN

    Le VPN AVG Secure permet de sécuriser vos données, où que vous soyez et quel que soit l’appareil que vous utilisez. Le VPN AVG Secure crée une connexion Internet chiffrée qui protège vos activités en ligne et empêche les espions de les suivre. Protégez votre navigation, vos opérations bancaires et vos activités en ligne avec le VPN AVG Secure. Essayez-le gratuitement dès aujourd’hui.

    Protégez votre confidentialité et vos données avec le VPN AVG Secure

    Essai gratuit

    Protégez votre confidentialité et vos données avec le VPN AVG Secure

    Essai gratuit
    Conseils
    Confidentialité
    Danielle Bodnar
    5-04-2023