CAPTCHA

Définition simple : qu'est-ce qu'un CAPTCHA ?

Un CAPTCHA est une mesure de sécurité conçue pour distinguer un être humain d'un programme automatisé, en particulier d'un bot. Le terme est l'acronyme de "Completely Automated Public Turing test to tell Computers and Humans Apart". Ces tests sont aujourd'hui omniprésents sur les sites web pour protéger un formulaire, une connexion, une création de compte, un sondage ou un paiement en ligne contre le spam et les usages abusifs. Seuls les humains peuvent résoudre ces défis.

Définition technique : comment fonctionne un CAPTCHA ?

Le principe du challenge-réponse

D'un point de vue technique, le CAPTCHA repose sur une logique de challenge-réponse : le système s'appuie sur un algorithme qui génère un défi supposé facile pour un humain mais difficile pour un bot. Ce mécanisme s'inspire du test de Turing, conçu à l'origine pour évaluer la capacité d'une machine à imiter le comportement humain. Autrement dit, un CAPTCHA est une forme automatisée et publique de ce test, visant à différencier les humains des ordinateurs.

Historiquement, les CAPTCHA traditionnels prenaient la forme de lettres ou chiffres déformés à saisir dans une zone de texte. Cette approche exploitait la difficulté pour les programmes automatisés d'interpréter un texte déformé, contrairement aux utilisateurs humains.

Exemples de CAPTCHA : image, code et test

Avec l'évolution des bots, les formes de CAPTCHA se sont diversifiées. Voici quelques exemples de CAPTCHA couramment utilisés :

• reconnaissance de texte déformé : l'utilisateur doit déchiffrer des caractères altérés affichés dans une image ;
• sélection d'images : le test présente généralement 9 ou 16 images carrées, et l'utilisateur doit identifier celles contenant un objet donné (feux de signalisation, passages piétons, véhicules) ;
• puzzle logique : il s'agit de reconstituer une image ou de déplacer un curseur pour valider son humanité ;
• case à cocher de type "Je ne suis pas un robot" : ce format simple peut déclencher une analyse plus approfondie si le comportement paraît suspect ;
• analyse comportementale : certains CAPTCHA récents examinent le mouvement de la souris, la vitesse de frappe ou d'autres signaux techniques pour attribuer un score de risque, parfois sans interaction visible.

Les CAPTCHA les plus récents ne reposent donc plus uniquement sur une énigme visuelle : ils s'appuient sur des signaux techniques et comportementaux pour évaluer si l'utilisateur ressemble à un humain ou à un bot.

Enjeux, limites et erreurs courantes du CAPTCHA

Efficacité et limites du CAPTCHA dans la cybersécurité

Le principal intérêt du CAPTCHA est de freiner les usages automatisés malveillants, comme le spam, la création massive de faux comptes ou certaines attaques contre les formulaires et les connexions. Il constitue une barrière efficace contre les attaques, où des pirates tentent de deviner des mots de passe par essais successifs, ou contre le bourrage d'identifiants utilisant des listes d'identifiants volés.

Mais les CAPTCHA ont aussi des limites importantes. Ils peuvent être contournés par des bots avancés, notamment lorsque ceux-ci utilisent des techniques de machine learning ou d'externalisation humaine. Ils peuvent aussi dégrader l'expérience utilisateur, en particulier lorsqu'ils interrompent la navigation ou rendent un parcours plus long et plus frustrant.

CAPTCHA impossible à valider : principales causes d'échec

Plusieurs raisons techniques expliquent qu'un CAPTCHA puisse échouer. Une connexion internet instable peut interrompre la communication avec le serveur de validation, provoquant un message d'erreur. Un navigateur obsolète ou des extensions bloquant les scripts (bloqueurs de publicité, anti-trackers) empêchent parfois le chargement correct du test.

L'utilisation d'un VPN ou d'une adresse IP placée dans une plage interdite par la base de données du service peut également déclencher des blocages répétés. Enfin, si la clé de site dépasse son quota de requêtes ou n'est plus valide, le CAPTCHA affichera systématiquement une erreur.

Accessibilité et inclusivité du CAPTCHA

Un autre enjeu fort est celui de l'accessibilité. Les CAPTCHA visuels sont impossibles à résoudre pour les personnes déficientes visuelles, même avec un lecteur d'écran, car ils reposent sur des éléments graphiques sans équivalent textuel exploitable.

Bien que des approches alternatives existent, comme les CAPTCHA audio ou les puzzles logiques, elles ne résolvent que partiellement le problème : une personne sourde-aveugle, par exemple, ne pourra compléter aucune de ces versions. Ces enjeux d'accessibilité restent importants, notamment pour les collectivités territoriales soumises au RGAA et aux obligations d'inclusion numérique.

Utiliser et implémenter un CAPTCHA : cas d'usage

Un CAPTCHA peut être déployé dans plusieurs contextes pour protéger les informations sensibles et limiter les actions automatisées malveillantes :

• une page de connexion pour limiter les tentatives automatisées et protéger le mot de passe
• un formulaire de création de compte pour éviter les faux profils
• un formulaire de contact ou de commentaire pour réduire le spam et les messages indésirables
• une page de paiement ou de transaction pour limiter certains abus automatisés
• un forum de discussion pour bloquer les publications de bots
• un portail de démarches en ligne ou une billetterie d'événements culturels municipaux pour sécuriser l'accès aux services publics.

Dans les usages les plus récents, le CAPTCHA peut aussi être quasi invisible pour l'utilisateur, lorsque le service attribue un score de confiance ou un verdict de risque en arrière-plan.