Comment ça marche un Captcha ?

Tout d’abord, sachez qu’en français, on dit UN CAPTCHA ! C’est considéré comme masculin. CAPTCHA est un acronyme anglais qui signifie « Completely Automated Public Turing test to tell Computers and Humans Apart ». Le genre du mot « test » est masculin en français.

Vous l’aurez compris, un CAPTCHA est un test public entièrement automatisé permettant de distinguer les ordinateurs des humains. Les informaticiens ont mis au point ces tests simples dans les années 1990. Conçus pour être faciles à résoudre pour les humains, mais difficiles pour les ordinateurs, et ils sont encore largement utilisés aujourd’hui pour empêcher les robots de spammer les sites Internet.

Qu’il s’agisse d’identifier tous les carrés contenant des passages pour piétons, des bus au bon endroit ou de taper les lettres à peine lisibles, nous avons tous perdu un temps considérable à répondre à ces tests pour accéder au service dont nous avions besoin.

Mais comment ça marche un CAPTCHA ? On vous dit tout.

Principe de fonctionnement d’un CAPTCHA

Les sites présentent généralement à l’utilisateur plusieurs images, une ligne de texte ou de chiffres, ou parfois une piste audio. L’utilisateur devra suivre les instructions données par le CAPTCHA et saisir la bonne réponse pour prouver qu’il est humain.

Attention, même si les CAPTCHA sont utiles, ils n’empêchent pas entièrement les robots ou les spammeurs de s’introduire dans un réseau. De nos jours, beaucoup d’IA sont capables de résoudre les CAPTCHA avec un taux de réussite élevé et l’inventivité de certains acteurs malveillants du net rend ces tests inutiles.

Je vous invite à visionner la vidéo de la chaine Underscore_ au sujet des CAPTCHAs.

Qu’est-ce qui déclenche un test CAPTCHA ?

Les tests CAPTCHA sont généralement déclenchés lorsqu’un site internet détecte une activité ou un comportement suspect qui semble suspect ou automatisé.

Voici les plus courants :

Les changements d’adresse IP

Si vous utilisez un VPN, vous êtes susceptible de rencontrer des CAPTCHA, car un réseau privé virtuel vous fournit une nouvelle adresse IP. Comme les adresses IP révèlent l’emplacement géographique d’un internaute, un changement soudain peut laisser croire que vous êtes un bot ou un script automatisé.

Des requêtes de chargement importantes

Les sites et les services en ligne utilisent des CAPTCHA pour empêcher les robots et autres acteurs malveillants de surcharger leurs serveurs et de perturber l’expérience des véritables utilisateurs. Ainsi, si vous faites soudainement de grosses demandes d’images, de vidéos et d’autres contenus multimédias, un site peut considérer votre comportement comme suspect et déclencher des CAPTCHA entre vos recherches.

Connexion à un compte

Dans ce cas, les CAPTCHA sont déployés comme une couche de sécurité supplémentaire pour vérifier que vous êtes bien humain et que vous essayez de vous connecter à votre compte.

Comportement de robot

Le fait de remplir des formulaires rapidement, de cliquer sur des parties étranges et d’envoyer des quantités inhabituelles de requêtes au serveur constitue un comportement de type bot.

Absence d’historique de navigation

Les CAPTCHAs n’ont pas accès à votre historique de navigation. Cependant, comme reCAPTCHA appartient à Google, de nombreux internautes pensent que la grande entreprise technologique déclenchera un test CAPTCHA si elle ne peut pas détecter l’historique de navigation d’un utilisateur. C’est très souvent le cas si vous faites une recherche en étant sous VPN. D’ailleurs, il serait peut-être temps de changer de moteur de recherche pour opter pour quelque chose de moins intrusif et plus respectueux de votre vie privée.

Types de CAPTCHAs

Voici quelques-uns des différents types de CAPTCHAs les plus répandus :

Les CAPTCHAs textuels

Les CAPTCHAs de texte demandent aux utilisateurs de saisir un code composé de lettres, de chiffres ou d’un mélange des deux pour vérifier qu’ils sont humains. Ces tests ne sont plus aussi efficaces qu’il y a quelques années, mais ils sont quand même utilisés. Les plus courants sont les Gimpy et toutes leurs variantes, EZ-Gimpy, Gimpy-r, HIP de Simard…

Bon, ne cherchez pas, dans tous les cas, il s’agit de caractères déformés avec ou sans fond parfois tellement altérés qu’ils sont indéchiffrables.

Les CAPTCHAs audio

Les CAPTCHAs audio sont une alternative aux tests textuels ou images pour les personnes souffrant de handicaps visuels ou moteurs. Pour vérifier, les utilisateurs doivent écouter un enregistrement et saisir le code.

Souvent inaudibles pour un humain, mais très facilement contournables au moyen de l’extension de navigateur Buster.

CAPTCHA d’image

La forme la plus répandue de CAPTCHA. Ces tests consistent à sélectionner des photos en fonction d’instructions données. Pour réussir ce test en une seule fois, vous devrez cliquer sur des photos. Son efficacité est assez élevée. En effet, les images présentées sont suffisamment subjectives pour que les robots ne soient pas actuellement équipés pour les identifier. Même pour nous, c’est flou, ça ne semble jamais s’arrêter et certaines photos mordent les unes sur les autres, y a de quoi devenu dingue parfois. Ne faites pas comme moi ! Ne réfléchissez pas trop pour les résoudre.

Le cas de reCAPTCHA (ou reCAPTCHA V2)

Introduit par Google en 2014, ce test est simple : il suffit de cliquer sur une case qui dit « Je ne suis pas un robot ». L’évidence même… Prouver à un robot qu’on est humain en lui disant simplement qu’on est humain… Ce CAPTCHA détermine ensuite si l’utilisateur est un humain ou un bot en fonction de l’endroit de la case sur laquelle il a cliqué.

Les robots auront tendance à cliquer sur la case située directement au milieu. Si, par coïncidence, un humain clique directement au centre, une méthode de vérification de secours sera déployée, l’utilisateur devra taper une combinaison de chiffres ou de lettres.

Problèmes de mathématiques ou de mots

Pour ces CAPTCHA, les défis vont de la résolution d’un simple problème d’arithmétique à la saisie d’un mot spécifique. ChatGPT résoudra parfaitement ces problèmes.

Le CAPTCHA du pot de miel

Les pots de miel sont des formes de CAPTCHA codées en dur que seuls les robots peuvent voir. Ces CAPTCHAs apparaissent souvent comme des champs vides dans un formulaire. Par conséquent, les robots tentent automatiquement de les remplir, ce qui permet aux sites Web de rejeter facilement les réponses ou les formulaires une fois qu’ils ont été soumis.

Des temps de réponse trop rapides

Une autre forme de CAPTCHA consiste à chronométrer le temps que met une personne à remplir un formulaire. Les robots remplissent les formulaires instantanément, donc si vous êtes humain, prenez votre temps pour le prouver.

CAPTCHA invisible (ou reCAPTCHA V3)

Selon Google, cette méthode fonctionne en arrière-plan pour déterminer si un visiteur est un humain ou un robot. Cette méthode ne nécessite aucune saisie de la part de l’utilisateur et surveille la façon dont l’activité est menée sur un site afin d’attribuer un score entre 0 et 1.

Un résultat entre 0 et 0,3 est considéré comme un bot, et un score entre 0,4 et 1,0 est considéré comme humain. Ne cherchez pas comment cela fonctionne, Google garde jalousement sa tambouille internet, le code en question n’est pas ouvert au public. Même son efficacité est inconnue.

Autres applications des CAPTCHAs

Outre la protection des sites contre le spam et les robots, les CAPTCHA sont également déployés pour diverses raisons.

Maintenir l’exactitude des sondages et pétitions

Les CAPTCHA empêchent les résultats des sondages ou des votes d’être faussés en authentifiant que chaque votant est, en fait, humain. Comme les CAPTCHA prennent également du temps à remplir, les robots auront plus de mal à spammer une plateforme de vote ou de scrutin.

Limiter l’inscription à certains services

Les CAPTCHA limitent la création de comptes de robots sur les plateformes de médias sociaux, les pages d’inscription aux événements et les services gratuits. Cela libère les ressources dont les entreprises ont besoin pour les comptes légitimes.

En 2020, Instagram a annoncé qu’il tentait d’éradiquer les comptes fantômes sur sa plateforme en obligeant les propriétaires de profils au comportement suspect à fournir des informations d’identification supplémentaires et à confirmer qu’ils sont réels. On estime qu’Instagram compte plus de 95 millions de faux comptes. La méthode semble pédaler, car ce taux n’est toujours pas redescendu.

Pour éviter la spéculation des prix des billets de spectable

Certains systèmes de billetterie, comme Ticketmaster, modifient le prix des billets en fonction de la demande. L’entreprise affirme que cela empêche les scalpers d’acheter des billets et de les revendre. Cependant, les robots peuvent toujours faire grimper le prix des billets, ce qui entraîne d’autres problèmes.

Les systèmes de billetterie peuvent éviter cela en incluant des CAPTCHAs dans le processus d’achat pour ralentir les robots et dissuader les revendeurs.

Pour éviter les faux commentaires, le spam ou le harcèlement

Les Haters et les Trolls dérangent tout le monde. Les CAPTCHA peuvent être particulièrement utiles pour les sites Web ou les blogs qui autorisent les commentaires, car ils ralentissent les robots (ou les personnes très/trop actives), ce qui peut empêcher les spams, les faux commentaires et même, le harcèlement.

Pour empêcher les revendeurs d’acheter des produits en édition limitée

Les CAPTCHA peuvent empêcher les revendeurs qui exploitaient des bots d’avoir un avantage considérable sur les acheteurs humains lors de l’achat de produits en édition limitée. Les revendeurs ont utilisé des robots pour acheter des baskets, des sacs et des appareils électroniques en édition limitée.

En 2022, Nike a mis à jour ses conditions de vente pour sévir contre les revendeurs et les robots. Le géant des baskets a également annulé des commandes qu’il soupçonnait d’avoir été passées par des robots.

Conclusion

Il arrive qu’en tant qu’humain… On échoue à ces tests. c’est un secret honteux de ne pas pouvoir prouver son humanité, mais peut-être plus fréquent que vous ne le pensez. Rassurez-vous, dans leurs formes actuelles, les CAPTCHAs sont amenées à disparaître.