Qu’est-ce que le CAPTCHA et comment fonctionne-t-il ?

Déchiffrer des lettres tordues, appuyer sur chaque image avec un feu de circulation ou faire glisser une pièce de puzzle… Nous devons de plus en plus souvent relever ces petits défis numériques, également appelés CAPTCHA, lors de la création de comptes, de la publication de commentaires ou de l’envoi de formulaires en ligne.

Mais de quoi s’agit-il exactement ? Et pourquoi existent-ils ? Découvrez ce qu’est un CAPTCHA et le rôle important qu’il joue dans la cybersécurité.

Pourquoi le CAPTCHA a-t-il été inventé ?

L’histoire du CAPTCHA, qui signifie « Completely Automated Public Turing test to tell Computers and Humans Apart » (Test de Turing public entièrement automatisé permettant de distinguer les ordinateurs des humains), remonte au début du 21e siècle. Le terme a été inventé en 2003 par un groupe de chercheurs de l’université Carnegie Mellon pour résoudre un problème spécifique.

À la même époque, le principal service de messagerie électronique, Yahoo, était aux prises avec des spammeurs. Des utilisateurs malveillants se servaient de programmes informatiques pour créer un grand nombre de comptes d’e-mails et les utilisaient à mauvais escient pour diffuser des messages non sollicités à grande échelle.

Des chercheurs de Carnegie Mellon ont voulu aider, et ont donc conçu un test dans lequel les utilisateurs devaient interpréter et taper une série de lettres et de chiffres gribouillés pour prouver qu’ils étaient des personnes réelles lorsqu’ils créaient de nouveaux comptes. Yahoo a rapidement mis en œuvre cette nouvelle technologie pour lutter contre les inscriptions de type spam, et d’autres plateformes ont rapidement suivi.

Quand et pourquoi les tests CAPTCHA sont-ils utilisés ?

Si le CAPTCHA a été créé à l’origine pour empêcher les spammeurs de créer des comptes, il s’est depuis lors enrichi d’une série d’autres applications. La plupart d’entre nous voient des tests CAPTCHA lorsqu’ils se connectent à des comptes ou soumettent des formulaires en ligne.

Connexion aux comptes

De nombreuses plateformes, telles que les banques en ligne, les comptes de messagerie et les sites de réseaux sociaux, demandent systématiquement aux utilisateurs de passer un CAPTCHA lorsqu’ils se connectent à leur profil. Le CAPTCHA fournit principalement une couche de protection supplémentaire de la connexion, garantissant que c’est un véritable utilisateur humain qui tente de se connecter et non un robot.

Cela permet d’éviter toute une série d’attaques de connexion automatisées, basées sur des robots, telles que les attaques par force brute dans lesquelles les robots essaient rapidement un grand nombre d’identifiants d’utilisateur pour trouver les bons et accéder à un compte.

Envoi de formulaires

Vous pouvez également rencontrer un CAPTCHA lorsque vous cliquez sur le bouton Envoyer d’un formulaire en ligne, comme une page de soumission de commentaires, un formulaire de contact ou une enquête.

Cela permet également de mettre un terme à l’activité des robots. Les robots peuvent être utilisés pour spammer les sections de commentaires avec des messages indésirables ou même des liens de phishing. Ils peuvent également être utilisés pour fausser ou influencer des sondages, des concours ou des enquêtes en ligne. Les CAPTCHA permettent d’éviter cela.

Comment fonctionne un CAPTCHA ?

L’objectif d’un test CAPTCHA est de déterminer si l’utilisateur est une personne réelle ou un programme informatique, tel qu’un robot. Les tests se présentent sous de nombreuses formes, mais tous ont le même objectif final. Voici une explication plus détaillée de son fonctionnement.

Utilisateur ou robot : Comment le test vous identifie-t-il ?

Les CAPTCHA fonctionnent essentiellement sur le principe qu’il existe certains problèmes ou puzzles qui sont assez faciles à résoudre pour les humains, mais très difficiles, voire presque impossibles, à résoudre pour les robots. Il présente ensuite ces énigmes à l’utilisateur, en lui demandant par exemple de taper une série de symboles ou de répondre à un problème mathématique relativement simple.

Un exemple célèbre de CAPTCHA est celui d’une séquence de lettres et de chiffres déformés d’une manière ou d’une autre. Ils peuvent donner l’impression d’avoir été griffonnés sur l’écran sous des angles aléatoires, par exemple, ou d’être masqués par des couleurs ou des éléments visuels. Si les humains peuvent lire et répéter ces séquences assez facilement, la plupart des robots ne le peuvent pas.

Ainsi, si l’utilisateur réussit le test, il prouve au système qu’il s’agit vraisemblablement d’un être humain.

Dans les coulisses : logique de serveur et déclencheurs

Heureusement, vous n’avez pas toujours besoin de remplir des CAPTCHA lorsque vous vous connectez à des comptes, que vous saisissez des informations dans des formulaires, que vous effectuez des achats en ligne, etc. Nombre d’entre eux n’apparaissent que dans des circonstances spécifiques, lorsque les serveurs du site web remarquent des signes de comportement inhabituel ou éventuellement suspect, par exemple :

Anomalies d’adresses IP

Les sites peuvent vous demander de remplir un CAPTCHA s’ils remarquent que vous utilisez une adresse IP suspecte, partagée ou une adresse IP proxy. Cela peut également concerner les utilisateurs de VPN, étant donné qu’un VPN masque votre adresse IP réelle avec une de ses propres adresses.

Si un site remarque que votre adresse IP change soudainement ou qu’il reçoit un grand nombre de demandes d’utilisateurs partageant la même adresse IP, il peut considérer cela comme suspect. En effet, les robots se cachent souvent derrière des proxys ou des VPN pour mener leurs activités en toute discrétion.

Si vous rencontrez souvent ce problème avec votre VPN, il peut être utile de changer de serveur. Vous pouvez également essayer d’effacer l’historique ou le cache de votre navigateur, d’obtenir une adresse IP dédiée ou de passer à un autre navigateur.

Comportement suspect du navigateur

Les CAPTCHA peuvent également apparaître si un site détecte qu’un utilisateur se comporte de manière suspecte ou montre des signes d’activité de type bot. Cela peut se produire si l’utilisateur remplit des formulaires très rapidement, s’il clique sur des boutons de manière très calculée et précise ou s’il envoie plusieurs requêtes successives à un serveur.

Tous ces éléments sont des signes potentiels du comportement d’un robot, et les CAPTCHA peuvent être déployés pour ralentir ou arrêter le robot dans son élan. Cela peut contribuer à mettre un terme aux escroqueries basées sur des robots dans des domaines tels que le commerce électronique, par exemple lorsque des réseaux de robots sont utilisés pour acheter un grand nombre de billets d’événements ou des produits en édition limitée que les escrocs revendent à un prix plus élevé.

Augmentation soudaine du trafic

Certaines cyberattaques impliquent l’utilisation de réseaux de zombies pour inonder un site web d’un grand nombre de requêtes en une seule fois, comme les attaques par déni de service distribué (DDoS). Les CAPTCHA peuvent servir d’outils d’atténuation des attaques DDoS, en se déployant automatiquement si un site détecte une augmentation soudaine et inattendue du trafic.

Types de CAPTCHA

Au départ, les CAPTCHA étaient de simples tests textuels, mais ils ont évolué au fil des ans pour prendre de nombreuses formes, en incorporant du son, des images et d’autres éléments.

CAPTCHA textuel

Le test CAPTCHA original, un CAPTCHA textuel, utilise des mots, des phrases ou des séquences aléatoires de lettres et de chiffres, qui ont été déformés d’une manière ou d’une autre ou affichés d’une manière qui les rend difficiles à lire pour les robots.

Différentes techniques sont utilisées pour créer des CAPTCHA textuels, comme la technique Gimpy, qui implique une sélection aléatoire de mots dans un dictionnaire, ou la technique HIP de Simard, qui sélectionne des lettres et des chiffres aléatoires, puis les déforme avec des arcs et des couleurs inhabituelles. L’utilisateur doit simplement lire le texte et le taper dans la case prévue à cet effet pour résoudre le test.

Cependant, même si vous êtes encore susceptible de rencontrer de temps à autre des CAPTCHA basés sur la distorsion de texte, une étude réalisée par Google en 2014 a révélé à quel point ils étaient devenus inefficaces pour distinguer les humains des robots. Les chercheurs en IA de Google ont appliqué des algorithmes avancés d’apprentissage automatique aux types de CAPTCHA de texte déformé couramment utilisés en ligne. Les résultats sont saisissants : leur système a été capable de résoudre les CAPTCHA les plus déformés avec une précision de plus de 99 %. En comparaison, les taux de réussite humaine ont oscillé autour de 33 %, en grande partie à cause de la complexité croissante qui les rend pénibles pour les utilisateurs réels.

CAPTCHA basé sur l’image (reCAPTCHA v2)

Ces CAPTCHA présentent à l’utilisateur des images et lui demandent de cliquer sur celles qui correspondent à un thème particulier ou de sélectionner celles qui ne correspondent pas aux autres. Parmi les exemples les plus connus, citons le fait de devoir cliquer sur toutes les images d’une série contenant des passages piétons ou des bouches d’incendie, ou de devoir cliquer sur des carrés spécifiques d’une image plus grande.

Les CAPTCHA basés sur une image ont été conçus pour remplacer les CAPTCHA basés sur un texte et l’ont fait sur de nombreuses plateformes, certains utilisateurs les trouvant plus faciles à comprendre et à résoudre.

On pense également qu’ils sont plus difficiles à résoudre pour les robots, car ils font appel à la fois à la compréhension sémantique et à la reconnaissance d’images.

CAPTCHA audio

Les tests CAPTCHA audio jouent un petit fichier son, souvent avec une voix lisant une série de lettres ou de chiffres. L’utilisateur doit ensuite saisir ce qu’il a entendu dans une zone de texte. Souvent, l’audio contient également un certain niveau de bruit de fond, ce qui rend difficile pour les robots de comprendre ce qui est dit.

Les CAPTCHA audio sont moins courants que les variantes basées sur le texte et l’image, mais ils constituent une alternative utile pour les personnes souffrant de déficiences visuelles.

Puzzles mathématiques et logiques

Certains CAPTCHA posent à l’utilisateur de simples problèmes de mathématiques ou de logique. Ils peuvent vous demander de saisir un mot manquant dans une phrase, de résoudre un problème d’addition ou de glisser une pièce de puzzle dans la bonne position, par exemple.

Ces puzzles sont généralement très simples pour une personne lambda, mais les programmes informatiques peuvent avoir du mal à comprendre ce qui leur est demandé. Sur la base de la réponse de l’utilisateur, le CAPTCHA peut distinguer avec précision s’il s’agit d’un humain ou d’un robot.

Pas de CAPTCHA reCAPTCHA

Pas de CAPTCHA reCAPTCHA est une forme très simple de CAPTCHA qui a été introduite par Google en 2014. Il demande simplement à l’utilisateur de cliquer sur une case à côté du message « Je ne suis pas un robot ».

Les robots et les humains sont capables de cliquer sur la case. Cependant, les robots cliqueront presque inévitablement toujours au centre, alors que les humains ont tendance à être moins prévisibles, avec de légères variations dans la position, le moment et le mouvement menant au clic. Sur la base de ces facteurs (mouvement de la souris, moment, caractéristiques des clics, comportements de défilement, etc.), le CAPTCHA peut émettre une hypothèse éclairée sur la véritable nature de l’utilisateur.

Si l’interaction semble suspecte d’une manière ou d’une autre, un test CAPTCHA de suivi sera mis en place.

CAPTCHA invisible (reCAPTCHA v3)

Comme son nom l’indique, vous ne pouvez pas voir les CAPTCHA invisibles, et vous n’avez pas besoin d’interagir directement avec eux ou de résoudre une énigme particulière. Ils fonctionnent en arrière-plan, suivent l’activité de l’utilisateur et lui attribuent une note en fonction de ses actions.

Le score est basé sur les interactions entre les utilisateurs et le site, bien que Google n’ait pas révélé beaucoup d’informations sur la manière dont chaque score est calculé.

Cependant, plusieurs sources indiquent que le système implique la collecte et le traitement d’éléments de données utilisateur, qui peuvent inclure l’adresse IP du visiteur, les mouvements de la souris, les saisies au clavier, ainsi que le navigateur et le système d’exploitation qu’il utilise.

Par exemple, en 2023, l’autorité française de protection des données, la CNIL, a infligé à NS Cards France une amende de 105 000 euros à la suite d’une enquête qui a révélé que ce fournisseur de solutions de paiement en ligne utilisait la technologie reCAPTCHA de Google sans informer les utilisateurs que les données relatives à leur appareil et à leur application seraient collectées et envoyées à Google à des fins d’analyse.

Honeypot CAPTCHA

Un CAPTCHA de type « honeypot » peut être assimilé à un piège à robots. Ces tests CAPTCHA sont invisibles pour les humains, mais visibles pour les robots. Les robots les considèrent comme des champs vides dans les formulaires et tentent souvent d’interagir avec eux et de les remplir, ce que les utilisateurs humains réels ne feraient pas, puisqu’ils ne peuvent pas voir les champs au départ.

Formulaires basés sur le temps

Les CAPTCHA temporels tentent de distinguer les humains des robots en chronométrant le temps qu’il leur faut pour remplir un formulaire ou saisir des données dans un champ. Les robots ont tendance à effectuer ces actions beaucoup plus rapidement que les utilisateurs humains. Ainsi, si le CAPTCHA détecte une réponse anormalement rapide, il aura tendance à supposer que l’utilisateur est un robot.

CAPTCHA et IA : Qu’est-ce que le test de Turing ?

Comme indiqué précédemment, CAPTCHA signifie « Completely Automated Public Turing test to tell Computers and Humans Apart » (test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains). Le test de Turing, ou jeu d’imitation, permet de tester la capacité d’une machine à se comporter comme un être humain. Il a été créé par le mathématicien, informaticien et philosophe britannique Alan Turing en 1949.

Le concept original de Turing pour le test impliquait trois terminaux distincts : l’un géré par un ordinateur et les deux autres par des humains. Un humain pose des questions, tandis que l’autre humain et l’ordinateur fournissent des réponses. Sur la base de leurs réponses, l’enquêteur doit déterminer quelle est la machine.

Le CAPTCHA fonctionne sur un principe similaire. Il présente un défi et évalue la réponse pour déterminer si elle provient d’un humain ou d’un robot. La principale différence réside dans le fait que, dans les CAPTCHA, le rôle de l’évaluateur est assumé par un logiciel plutôt que par une personne.

Applications concrètes de l’IA à partir des données CAPTCHA

Depuis des années, des entreprises comme Google utilisent des tests CAPTCHA pour entraîner des modèles d’IA et améliorer l’apprentissage automatique. Elles recueillent des données sur la manière dont les utilisateurs réagissent aux différentes énigmes et problèmes CAPTCHA, puis les introduisent dans des systèmes d’intelligence artificielle afin d’améliorer leur compréhension sémantique, leur reconnaissance d’images et d’autres capacités.

L’un des premiers exemples les plus courants de tests CAPTCHA était un CAPTCHA textuel qui demandait aux utilisateurs de taper une séquence de deux mots. À l’insu de la personne qui l’a résolu, l’un des mots était l’image d’un mot tiré d’un livre réel. Chaque fois qu’un utilisateur remplissait un CAPTCHA en tapant les deux mots, il contribuait en fait à la transcription et à la numérisation de livres et de documents physiques. Ce processus a permis de numériser l’ensemble des archives de Google Books, ainsi que des millions d’anciens articles du New York Times.

Alors que l’apprentissage automatique et la technologie de l’IA ont commencé à émerger, et que les CAPTCHA basés sur des images sont devenus de plus en plus courants, Google a eu une autre idée.

Il a recueilli des données sur les tests CAPTCHA effectués afin d’améliorer la reconnaissance d’images par l’IA. Par exemple, un CAPTCHA présente aux utilisateurs une série d’images différentes et leur demande de cliquer sur celles qui contiennent des voitures. Google peut ensuite intégrer ces données dans ses modèles d’apprentissage automatique afin d’aider l’IA à mieux repérer les voitures sur les photos.

Cette même technologie a également été utilisée pour améliorer les résultats de Google Maps (par exemple, en améliorant la capacité de l’algorithme à lire les plaques de numérotation des maisons), pour fournir des résultats de recherche d’images Google et même pour permettre aux utilisateurs de rechercher dans leurs bibliothèques Google Photos des photos contenant des objets ou des éléments spécifiques. Il est même incorporé dans des voitures autonomes, les aidant à repérer et à identifier les panneaux de signalisation.

Avantages et inconvénients des CAPTCHA

Les CAPTCHA présentent à la fois des avantages et des inconvénients pour les utilisateurs quotidiens et les propriétaires de sites.

Avantages pour les propriétaires de sites

Les propriétaires de sites bénéficient largement de la mise en œuvre de la technologie CAPTCHA. Il les aide à bloquer les activités des robots, à arrêter les spams et les faux comptes, à prévenir les fraudes, etc. Les CAPTCHA peuvent également être considérés comme un signe de crédibilité, donnant à un site une apparence plus sécurisée.

Questions relatives à la facilité d’utilisation et à l’accessibilité

De nombreuses personnes trouvent les CAPTCHA pénibles ou gênants, car ils les empêchent souvent d’accéder aux sites ou aux contenus qu’ils souhaitent voir. Les internautes ne comprennent pas toujours la nécessité des CAPTCHA, ce qui peut accroître leur frustration, et certains utilisateurs, en particulier ceux qui souffrent de déficiences visuelles ou d’autres problèmes, peuvent trouver certains types de tests CAPTCHA particulièrement difficiles à résoudre.

Impact négatif sur les conversions

Parce que les CAPTCHA demandent du temps et des efforts pour être remplis, ils peuvent avoir un impact négatif sur les taux de conversion des sites web, ce qui rend plus difficile pour les propriétaires de sites de réaliser des ventes, de générer des prospects et d’acquérir des clients.

Une étude réalisée en 2010 par l’université de Stanford a montré que certains types de CAPTCHA (notamment les CAPTCHA audio) étaient si pénibles pour les participants à leurs tests qu’ils renonçaient à les résoudre dans 50 % des cas.

Alternatives au CAPTCHA

Compte tenu des inconvénients notables des CAPTCHA, les propriétaires de sites peuvent envisager d’autres moyens de sécuriser leurs sites et de bloquer les robots.

Connexion sociale CAPTCHA

Les boutons de connexion sociale sont une forme de plus en plus populaire et sûre de protection contre les robots et de sécurité des sites web. Ces boutons apparaissent souvent lorsque les utilisateurs souhaitent accéder à une plateforme ou à un élément de contenu, en leur demandant de se connecter à l’aide d’un compte de réseau social sur des plateformes telles que Google ou Facebook.

Étant donné qu’il faut beaucoup de temps et d’efforts pour créer des profils de réseaux sociaux individuels pour les robots, le bouton de connexion sociale peut s’avérer inestimable pour prévenir la fraude, le spam et les activités frauduleuses.

D’un autre côté, les identifiants sociaux peuvent être considérés comme une forme d’atteinte à la confidentialité. Certains utilisateurs ne souhaitent pas nécessairement se connecter à leur profil social et révéler leur identité lorsqu’ils accèdent à certains sites ou plateformes.

Analyse comportementale

Les outils d’analyse comportementale suivent les modèles de comportement des utilisateurs et recherchent des signes suspects d’activité des robots.

Par exemple, ils sont capables de voir comment un utilisateur se comporte sur un site, comme l’endroit où il déplace le curseur de la souris et la fréquence à laquelle il clique sur un bouton ou appuie sur une touche de son clavier. Ils peuvent également suivre les mouvements d’un utilisateur sur un site et voir combien de temps il lui faut pour effectuer certaines actions.

Les robots ont tendance à faire toutes ces choses de manière très rapide, calculée et précise, alors que les humains peuvent prendre plus de temps ou sembler plus aléatoires et imprévisibles dans leurs actions. Cela permet aux outils d’analyse de distinguer les robots des personnes.

L’authentification multifactorielle (AMF)

L’AMF et l’authentification à deux facteurs (2FA) sont des outils utiles pour empêcher les robots de créer des comptes d’utilisateur et de s’y connecter. Il fournit une couche supplémentaire de sécurité à la connexion, en demandant à l’utilisateur de saisir un mot de passe ou d’utiliser des données biométriques pour accéder à son compte, ce que les robots ne sont pas en mesure de faire.