Les CAPTCHA : Une bonne sécurité pour mon site web ?

Les CAPTCHA : une bonne sécurité pour mon site web ? - Agence IDEO

Qu’est-ce qu’un CAPTCHA et pourquoi est-ce si important de déterminer si vous êtes ou non un robot ? Après notre article sur les demandes de consentements des cookies, cela ressemble encore à un moyen de gêner notre navigation et de nous faire perdre notre précieux temps. Le tout en nous faisant recopier des mots étranges et/ou cliquer sur des photos de vélos…

Que signifie CAPTCHA ?

Ce terme est une marque commerciale qui a été inventée et déposée par l’université Carnegie-Mellon (Pittsburgh, États-Unis) en 2000, avant d’être racheté par Google sous le nom de reCAPTCHA en 2009. CAPTCHA (qui se prononce “capture” en anglais américain) est également un rétroacronyme qui signifie “Completely Automated Public Turing test to tell Computers and Humans Apart“, soit “Test public de Turing complètement automatique ayant pour but de différencier les humains des ordinateurs” en français.

Les CAPTCHA désignent alors une famille de tests de Turing, qui sont des tests permettant de différencier un humain d’un ordinateur (sur le web, on va parler de robots/bots) en utilisant des facultés normalement propres à un être humain (comme l’analyse sémantique/cognitive des images et des sons).

À savoir : Alan Turing (1912-1954) était un mathématicien et cryptologue britannique qui a été le premier à scientifiquement fonder les bases de l’informatique. Également reconnu héros de guerre pour avoir joué un rôle majeur dans le déchiffrage de la machine allemande “Enigma” pendant la Seconde Guerre mondiale.

À quoi servent-ils ?

Avant toute chose il faut savoir que sur le web il n’y a pas que des utilisateurs humains comme vous et moi. On retrouve également des ordinateurs (programmes automatiques ou robots) qui ont diverses utilités comme par exemple, répertorier tous les sites présents sur le web afin de les proposer dans les moteurs de recherche (Google, Bing, …).

Des robots peuvent être utilisés pour effectuer diverses tâches, souvent simples et rébarbatives afin de faire gagner un maximum de temps et d’efficacité (correcteurs orthographiques, messageries instantanées, assistant virtuels comme SIRI / Alexa / Google).

Cependant, certains robots sont utilisés à des fins malveillantes et ce sont eux qui sont concernés par les barrières anti-robots sur le web. Comme un robot simule le fait d’être un humain, les webmaster ont dû mettre au point un test efficace pour pouvoir faire la différence entre les deux, ce sont donc les fameux CAPTCHA (ou microtest de Turing). Ces utilisations malveillantes peuvent prendre diverses formes, mais une des plus répandus sont les ***”spam-bots”***, qui n’ont pour unique mission que de polluer les sections commentaires des blogs et/ou boutiques en ligne afin de diffuser des liens frauduleux, et ainsi tenter de faire du “fishing” de masse.

À savoir : Certains robots ont même pour but de trafiquer les statistiques d’audience d’un site web (comme le nombre de vue sur YouTube), ce qui pourrait avoir de multiple conséquence d’un point de vue économique si ces robots n’étaient stoppés.

L’évolution des CAPTCHA

Depuis leurs créations en 2000, les CAPTCHA n’ont cessé d’évoluer au fil des années, notamment depuis le rachat du projet par Google (reCAPTCHA) en 2009 où leurs utilisations ont commencé à exploser. Voici un petit historique de l’évolution des CAPTCHA depuis leurs créations :

  • 2000 (CAPTCHA) : La première utilisation des CAPTCHA consistait à recopier un mot ou une phrase écrit en langage ***”leetspeak”***. C’est-à-dire qu’on devait déchiffrer et recopier correctement le mot écrit en ***”leetspeak”***, qui consiste simplement à remplacer les lettres de l’alphabet par des caractères qui ressemblent à des lettres (écrit = 3Cr17).
  • 2009 (reCAPTCHA) : Ensuite avec le rachat par Google, nous devions non pas déchiffrer un “leetspeak” mais bel et bien déchiffrer un mot écrit en toutes lettres, mais déformé (ou dans une image). À cette époque nous devions alors recopier deux mots déformés, le deuxième étant facultatif. À savoir : Pendant cette période, Google avait profité des CAPTCHA pour pouvoir déchiffrer des mots difficiles à lire pour leur robot de lecture des livres anciens (Google Books). Autrement dit, si le deuxième mot du CAPTCHA à l’époque était facultatif, c’est parce que Google s’en servait à des fins personnelles.
  • 2014 (reCAPTCHA v2) : Enfin, avec la deuxième version de ***”reCAPTCHA“***, Google avait mis au point un système permettant d’analyser le comportement (naturel ou non) des utilisateurs lorsqu’ils remplissent un CAPTCHA, avec seulement une case à cocher et un test de logique si l’utilisateur est jugé suspect (les fameux vélos à trouver).

Comment ça se passe aujourd’hui ?

Comme vous le savez certainement, les technologies évoluent toujours plus vite au cours du temps, et les programmeurs de robots malveillants aussi malheureusement. Si bien qu’une grande majorité arrivent désormais à passer au travers de ces différents CAPTCHA. Car le soucis avec des tests qui reposent sur une réponse “objective” est que si l’on connait la question, on peut programmer la réponse… Google a alors proposer une parade à cela en mettant au point invisible reCAPTCHA” en 2017, qui reprends le système d’analyse du comportement que l’on a vu précédemment mais qui a été grandement amélioré. Ici c’est votre comportement sur le site web que vous visitez qui est finement analysé (anonymement), plus de mot à recopier ou de case à cocher (un test de logique peut tout de même survenir en complément si votre comportement est jugé suspect).

À savoir : Le fait d’utiliser un VPN ou un autre type de réseau (comme TOR) pour naviguer sur le web aura pour effet de vous rendre plus suspect aux yeux des CAPTCHA, ce qui déclenchera beaucoup plus souvent le test complémentaire de logique.

Une note entre 0 et 1 vous est alors attribué (robot < 0,5 < humain), cette note est ensuite interpréter par le webmaster du site que vous visitez, qui va ensuite déterminer à partir de quelle note il considère que l’utilisateur est potentiellement un robot. Bien que techniquement plus fiable, car cette fois on analyse le comportement sous un aspect plus ***”subjectif”***, cette version de “reCAPTCHA” ne fait pas encore totalement l’unanimité face à ses autres concurrents sur le web, mais reste tout de même majoritaire (avec “reCAPTCHA v2”).

Conclusion

Les CAPTCHA (“capture” en anglais américain) désignent donc une famille de tests de Turing servant à différencier les humains des robots sur le web afin de pouvoir les bloquer pour des raisons qui peuvent être à la fois commerciales (trafiquer des statistiques) ou de sécurité (“fishing” de masse) par exemple. Il est donc important pour un webmaster ne pas les négliger. Bien que mis bout à bout ils nous fassent perdre pas mal de temps dans notre navigation, ils restent la première ligne de défense contre les différents types de robots qui parcourent quotidiennement le web et qui y menace son équilibre et ses utilisateurs (humains ;)).

Vous n’êtes pas rassasié ? Vous souhaitez savoir ce qu’est un cookie ? Vous pouvez lire notre article sur le sujet : “Cookies : Doit-on systématiquement les bloquer sur un site web ?”

Vous aussi vous souhaitez être accompagnés par une équipe à l’écoute et efficace ? Nous vous aidons à réaliser votre site web vitrine ou e-commerce garantis sans robots malveillants.

Avec Agence IDEO, développons le monde de demain.

Partager l'article sur :
Facebook
Twitter
LinkedIn
Email

Table des matières

Audit web complet 100% gratuit

Recevez gratuitement un rapport complet de votre site

Ce formulaire collecte des données uniquement pour fournir un service adapté par Agence IDEO. Aucune donnée n’est revendue.
Webdesign / Responsive
Performance
SEO
Conformité légale / RGPD
impact environnemental
Femme 3d avec tasse de café et ordinateur portable