Le CAPTCHA dans tous ses états

captcha

Le terme de CAPTCHA ne vous est peut-être pas familier. Pourtant, en navigant sur la toile, vous l’avez croisé à de nombreuses reprises. Il est probable que vous ayez aussi fait la connaissance de son petit frère, le reCAPTCHA.
A l’heure de son déclin annoncé, nous avons décidé de rendre un hommage à ce système anti-spam si populaire ! Voici une présentation du CAPTCHA « dans tous ses états ».

Définition de CAPTCHA

CAPTCHAUn CAPTCHA est un petit test informatique visant à distinguer les êtres humains des programmes informatiques. Il est notamment utilisé pour les formulaires (de contact, d’inscription, de sondage…) et autres supports d’expressions (commentaire, forum…) en prévention des soumissions intensives et automatisés de robots malveillants. On recourt aussi aux CAPTCHA contre l’extraction automatique de bases de données ou l’attaque par force brute.

L’acronyme CAPTCHA (marque déposée d’une université américaine) signifie « Completely Automated Public Turing test to Tell Computers and Humans Apart » qu’on pourrait traduire par « Test de Turing public pour distinguer automatiquement les ordinateurs des humains ».

CAPTCHA visuelUn CAPTCHA se compose traditionnellement d’une série de signes plus ou moins déformés (distorsion, flou, chiffres et lettres imbriqués…) qu’il s’agit de recopier. Il présente parfois un fond coloré (motif, dégradé). L’objectif : permettre le déchiffrement par l’œil humain tout en empêchant le décodage informatique via des logiciels de reconnaissance de caractères.

Des casse-têtes simples peuvent aussi faire office de CAPTCHA. Ils prennent souvent la forme d’un calcul mathématique. Une question de logique peut aussi jouer le rôle de filtre anti-spam, comme dans le formulaire d’inscription ci-dessous.

Question de logique CAPTCHA

reCAPTCHA - V1 Le reCAPTCHA (racheté par Google en 2009) se compose lui de deux mots à recopier : le premier est connu du système et sert donc de CAPTCHA traditionnel, le second est incertain voire inconnu. Il est en fait issu de la numérisation d’un texte. reCAPTCHA met ainsi à profiter les capacités humaines pour améliorer le processus de numérisation des ouvrages, là où les systèmes de reconnaissance optique ne sont pas assez performants. Un outils deux en un, en somme.

Pas désintéressé, Google met à profit ce système pour améliorer Google Books mais aussi Google Street View.

Les limites du CAPTCHA

N’avez-vous pas déjà pesté en vous y reprenant à trois fois pour recopier un CAPTCHA illisible ? Ce qui est parfois difficile à déchiffrer avec une bonne vue l’est d’autant plus avec une vue déficiente. Les CAPTCHA  posent ainsi des problèmes d’accessibilité aux personnes souffrant d’un handicap visuel. Pour contourner ce problème, certains tests anti-spam proposent une identification sonore comme alternative à l’identification graphique. L’opération peut néanmoins s’avérer assez contraignante.

Dans l’exemple ci-dessous, il est demandé de télécharger le fichier audio au format MP3. J’ai fait le test. Quand je clique sur le lien, le fichier s’ouvre dans un nouvel onglet de mon navigateur. Je lance alors la lecture du fichier : pendant 15 secondes, je dois écouter et relever les 10 chiffres prononcés alternativement par une femme et un homme, en anglais, le tout avec une qualité audio médiocre.

Test de reconnaissance sonore.

Les CAPTCHA posent aussi problème en termes d’efficacité, certains pouvant être déchiffrés automatiquement et en quelques secondes par des programmes informatiques de pirates et autres spammeurs. Par ailleurs, des sociétés vont jusqu’à engager des humains pour décoder les CAPTCHA et contourner ainsi cette barrière de sécurité virtuelle.

Si le CAPTCHA n’est pas la panacée en matière de lutte contre les programmes malveillants, ce système est un outil intéressant et facile à mettre en œuvre pour endiguer la plupart des messages indésirables soumis automatiquement sur votre site web.

Je ne suis pas un robot (Faut pas croire ce que disent les journaux)

reCAPTCHA v2La V2 de reCAPTCHA s’affranchit du système de saisie de réponse. Il nous est simplement demandé de cocher une case suivie de la mention « Je ne suis pas un robot ».  Bien sûr, le système n’est pas fondé sur une croyance en notre bonne foi !

Image de contrôle du reCAPTCHA

En quelques instants, le système s’assure d’avoir bien affaire à un humain.

En cas de doute, le système poursuit son investigation par un test d’identification imagé.

« Easy on humans, hard on bots » (Facile pour les humains, dur pour les bots), tel est le slogan de ce reCAPTCHA.

La mort annoncée du CAPTCHA

La nouvelle est tombée le mois dernier : Google prévoit de supprimer les CAPTCHA dans un avenir proche. Le nouveau système d’identification des robots sera automatique et invisible. Autant dire que sur la toile, les partisans du moindre effort ont accueilli la nouvelle avec joie…

Google se garde logiquement de donner trop d’informations sur le fonctionnement de ce CAPTCHA nouvelle génération. On sait simplement qu’il reposerait sur une « combinaison d’apprentissage automatique » et une « analyse avancée du risque ». Notre comportement de navigation serait donc la clef de ce qu’on pourrait appeler le « GHOST-CAPTCHA ».

Ergonomie : attention aux faux-pas

Si vous utilisez un vieux système CAPTCHA sur votre site et comptez bien le maintenir (par manque de temps / de compétences, par nostalgie ou par fidélité), assurez-vous qu’il ne constitue pas une entrave aux soumissions ou inscriptions humaines.

Lorsqu’un CAPTCHA est trop difficile à déchiffrer, l’utilisateur peut cliquer pour en générer un autre. Mais mieux vaut ne pas jouer avec ses nerfs…

Exemples de codes de sécurité peu ou pas lisibles :

captcha fianetCAPTCHA illisible

Si vous optez pour un CAPTCHA sous la forme d’un test de logique, veillez à ce que la réponse soit évidente pour tout un chacun !

captcha galère

Un autre problème fâcheux : un CAPTCHA qui ne s’affiche pas et qui se révèle donc… insoluble !

captcha ne s'affiche pas

La validation du CAPTCHA ci-dessous passe par la saisie et le glissement d’un bouton. Simple pour un utilisateur lambda, mais peut-être plus complexe pour une personne en situation de handicap physique ?

CAPTCHA glisssement

Evitez aussi les CAPTCHA dont la résolution prend du temps, surtout si le système n’est pas 100 % fiable dans l’identification des bonnes réponses.

CAPTCHA image
Captcha image
problème système de sécurité
Ah bon, ce n’est pas un violon ?

CAPTCHA insolites

Pour finir sur une note d’humour, voici une sélection de CAPTCHA insolites dénichés sur la toile.

Le CAPTCHA mystère
CAPTCHA d'observation
CAPTCHA approximatif et pro-nucléaire ;-)
captcha grossier
Le hasard fait parfois mal les choses !
CAPTCHA complexe
Le CAPTCHA prise de temps / prise de tête
captcha peinture
La sélection par le talent !
Captcha Dromadaire
Le CAPTCHA de dromadaire.com s’appuie sur des partenariats publicitaires.
captcha Heinz
Une pub Heinz déguisée en CAPTCHA
funny-captcha-random
Un challenge non dénué d’humour ! Src : http://random.irb.hr/signup.php
Juliette
Juliette
Fondatrice et co-gérante de Digicalys, j'aide nos clients dans la germination ou le développement de leurs projets numériques. J'accompagne aussi quelques jeunes pousses en tant qu'enseignante vacataire en communication au sein de l'IUT Lumière - Université Lyon II. En quête permanente de sens, je le cultive sous toutes ses formes : sens du devoir, de l'équilibre, du détail, de l'humour... (mais avec ce dernier, je fais souvent chou blanc). Quant au sens de l'orientation, j'en cherche encore désespérément les plan(t)s.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Table des matières

Catégories

Étiquettes

conseil insolite jeu sécurité

Articles récents

Haut de la page
Appuyez sur "Entrer" pour valider ou "Échap" pour fermer le champ de recherche.