Définition CAPTCHA

Le CAPTCHA (et ReCAPTCHA) est une solution de sécurité mise en place pour distinguer les visiteurs humains des robots. Cette barrière de protection s’installe notamment sur un site web au niveau du formulaire de connexion. Ce petit programme, présenté sous différentes formes, est une première sécurité pour filtrer le trafic et réduire les risques d’attaques par DDoS. Découvrez toutes les informations sur le CAPTCHA et son efficacité contre les botnets.

Qu’est-ce qu’un CAPTCHA ?

Vous avez certainement dû rencontrer un CAPTCHA (completely automated public turing test to tell humans apart) lors de votre connexion à un site ou une application. Il apparaît généralement lors :

  • d’une inscription ou d’une connexion à un site ou service web ;
  • après un formulaire de contact ou un commentaire laissé sur un forum, article, etc. ;
  • avant le paiement d’un achat en ligne, etc.

 

Vous pouvez rencontrer un CAPTCHA et un ReCAPTCHA. Il est important de distinguer le CAPTCHA traditionnel et le ReCAPTCHA de Google, dont les versions se montrent plus évoluées en matière d’expérience utilisateur et de sécurité. Le ReCAPTCHA, développé par Google, se montre plus efficace et plus facile à utiliser.

À quoi sert un CAPTCHA ?

Le test CAPTCHA a pour objectif de différencier un utilisateur humain d’un robot. Il est conçu pour limiter le trafic illégitime sur un site, notamment dans une attaque de type HTTP flood. Ce programme d’authentification demande des réponses aux utilisateurs, comme de retaper une suite de caractères, de cliquer sur des images, etc.

L’objectif du CAPTCHA est non seulement d’éviter que les botnets (réseau d’appareils connectés piratés et contrôlés à distance par des pirates) ne se connectent en masse, mais aussi ne créent de faux comptes. Ces derniers sont alors utilisés pour lancer des attaques DDoS, afin de saturer les serveurs web et de rendre les applications et sites dysfonctionnels pour les utilisateurs légitimes.

Quels sont les différents types de CAPTCHAS et comment fonctionnent-ils ?

Le CAPTCHA évolue pour rester efficace devant des robots de plus en plus pertinents pour apporter une réponse comme un humain. Dans la majorité des cas, les robots ne sont pas programmés pour réussir ces tests de connexion. Néanmoins, les CAPTCHAS doivent proposer des systèmes plus complexes afin de conserver un temps d’avance sur les capacités des robots.

Les CAPTCHAS basés sur des textes et des images

Ce test demande à l’utilisateur de recopier une suite de caractères affichés à l’écran. La déformation du texte ou encore la présence de signes différents d’une lettre ou d’un chiffre rendent impossible la réussite du test par un robot. Concernant les images, le test consiste à sélectionner une série d’images selon une demande précise. Vous devez reconnaître des passages piétons, des voitures, des feux tricolores, etc.

Les CAPTCHAS basés sur une opération mathématique

Le CAPTCHA demande ici de réaliser une opération mathématique simple. Il peut s’agir d’une opération comme 3+2 ou bien 1*6. La résolution de ces opérations doit être accessible pour le grand public. Malheureusement, ce test est facile pour un robot. C’est pourquoi ce test captcha s’accompagne d’une autre vérification.

Le test ReCAPTCHA « I’m not a robot »

Ce test vous demande simplement de cocher la case certifiant que vous n’êtes pas un robot. Vous pensez à cette vérification très simple ? Elle s’avère en réalité très complexe. L’algorithme étudie le comportement de l’utilisateur lors de son mouvement de souris pour cocher la case. Le mouvement humain se caractérise par des « sauts » inconscients. Un robot est quant à lui direct. C’est donc en étudiant ces petits défauts humains que le ReCAPTCHA est capable de distinguer un utilisateur légitime d’un bot.

La vérification ReCAPTCHA invisible pour l’utilisateur

Vous pouvez connaître une vérification ReCAPTCHA sans avoir à interagir. Cette évolution apporte plus de complexité et le robot est, pour le moment, incapable de réussir le test. Cette vérification repose sur votre historique de navigation, vos cookies stockés, votre comportement habituel avec le service sur lequel vous souhaitez vous connecter. Le programme décide si oui ou non vous êtes un utilisateur légitime. S’il rencontre des difficultés, alors vous subissez une vérification complémentaire citée ci-dessus.

Les avantages de l’utilisation d’un captcha

L’intégration des CAPTCHAs offre de nombreux avantages et reste l’une des solutions simples à mettre en place pour se préserver des cyberattaques.

Une solution de sécurité complémentaire

Le CAPTCHA est une solution de sécurité qui vient compléter d’autres outils de détection ou votre pare-feu d’applications web. Il protège des tentatives de spam, des attaques DDoS ou des attaques par force brute, des faux comptes créés par des bots, des faux commentaires, etc.

En réduisant ces risques, vous soulagez également vos serveurs. Vos services restent accessibles et votre infrastructure web continue d’être fonctionnelle.

La facilité d’utilisation des nouvelles versions de ReCAPTCHA

Les tests de vérification sont généralement très simples pour les utilisateurs. D’autant plus que les nouvelles versions (comme les vérifications invisibles) ne stoppent plus le visiteur dans sa progression sur le site. Il n’est plus interrompu par une recherche d’images ni dans la saisie d’un texte pour lesquels il pouvait rencontrer une erreur. L’expérience utilisateur est privilégiée tout en conservant une sécurité.

La facilité d’implémentation d’un système ReCAPTCHA

ReCAPTCHA s’adapte à tous les types de sites ou d’utilisation. Vous pouvez aussi bien l’installer sur un formulaire de contact que sur votre blog ou sur un site e-commerce. L’intégration est simple pour tous les développeurs. Google propose une solution gratuite pour mettre en place les dernières versions de ReCAPTCHA (bouton « je ne suis pas un robot », vérification invisible, etc.). Pour les professionnels cherchant des niveaux d’intégration personnalisés, Google propose des licences dont le prix varie en fonction de la demande.

Les CAPTCHAS sont-ils toujours efficaces contre les bots modernes ?

Le CAPTCHA joue une véritable course de performances face aux robots. Ces derniers évoluant rapidement, le CAPTCHA doit être capable de rester indéchiffrable. Les anciennes versions (texte et image) ne posent plus aucun problème de résolution pour les robots avancés. Les hackers ont également mis en place des fermes à CAPTCHA, employant des humains pour répertorier et résoudre les CAPTCHAS traditionnels. C’est de cette façon que sont créés les algorithmes capables de passer les vérifications.

Les vérifications invisibles de ReCAPTCHA restent encore fiables.

Existe-t-il des alternatives au captcha ?

D’autres solutions de vérification sont disponibles et sont des alternatives aux services de Google. Parmi les concurrents, citons par exemple hCaptcha demandant la résolution de puzzles visuels. D’autres outils plus spécifiques interviennent pour réduire les spams, ou détecter les bots. Vous pouvez trouver par exemple :

  • Askimet, utilisé pour limiter les commentaires de spam ;
  • Human Presence ou Behavorial Analysis, centrés sur l’analyse du comportement humain pour bloquer les bots ;
  • Honey Pot Technique servant de leurre pour attirer les bots ;
  • Device Fingerprinting pour analyser l’historique de navigation sur l’appareil de l’utilisateur, etc.

Aujourd’hui, les outils offrant des solutions invisibles de vérification sont les plus appréciés. L’expérience utilisateur et la fluidité d’accès ou de navigation sont privilégiées pour éviter d’impacter le taux de conversion d’un site.

Le CAPTCHA est-il une bonne solution de sécurité ?

Le CAPTCHA traditionnel et les évolutions apportées par ReCAPTCHA restent des solutions intéressantes de sécurité. Ils ne doivent pas être utilisés seuls, mais intégrés dans une stratégie de sécurité plus complète. Ils sont complémentaires à d’autres mesures de sécurité, comme les IDS (système de détection d’intrusion) ou bien un pare-feu d’application web (WAF).

Le CAPTCHA est également plus efficace lorsqu’il est utilisé dans des cas précis, et parfaitement intégré dans l’expérience utilisateur. En revanche, il ne peut pas être considéré comme seule mesure de sécurité pour vous préserver du spam, des faux commentaires ou encore des cyberattaques. L’implémentation d’un système évolué de CAPTCHA est un atout pour la sécurité, tant il est simple à mettre en place et à utiliser. Ses nouvelles versions servent à la fois l’expérience utilisateur et la cybersécurité de vos services web. Intégré dans une série de mesures de sécurité, il peut vous apporter un premier niveau de protection fiable.