Pour limiter les actions malveillantes sur des formulaires, certains sites utilisent des CAPTCHA afin de vérifier qu’il s’agit bien d’un humain. Ces pratiques sont certes utiles, mais peuvent aussi être frustrantes pour l’utilisateur en fonction de la nature du test mis en place. Nous verrons qu’elles sont les types de captcha et les alternatives à mettre en place pour limiter la friction des utilisateurs avec ce genre de pratique.
Le CAPTCHA est l’acronyme de « Completely Automated Public Turing test to tell Computers and Humans Apart », en français : « Test de Turing public entièrement automatisé pour différencier les ordinateurs et les humains ».
Les CAPTCHA sont des tests que le visiteur doit passer pour prouver qu’il est bien humain et qu’il peut accéder à certains services en ligne. Initialement, ces tests consistaient à recopier dans un champ vide une séquence visible contenant des chiffres et des lettres superposées sur une image. Ces tests avaient pour but de bloquer les robots malveillants qui ne peuvent pas distinguer le texte d’une image.
Les CAPTCHA sont des antispams qui servent à protéger les sites internet et les utilisateurs.
Nous pourrions mettre en place ces mesures de sécurité pour :
- Sécuriser les données utilisateurs en protégeant la connexion à leurs comptes des attaques par force brute (brute force attack).
- Protéger du spam les formulaires de contact, création de comptes, espaces commentaire …
- Garantir la qualité des données recueillies par les formulaires en s’assurant qu’elles soient bien soumises par un humain.
- Sécuriser les transactions en vérifiant que vous en êtes bien à l’origine.
- Limiter le risque de surcharge du serveur (DDoS) en bloquant les attaques massives de bots.
- Attaque par force brute (brut force)
-
Une attaque par force brute est une méthode d’attaque utilisée pour deviner ou casser une clé de chiffrement, un mot de passe ou un nom d’utilisateur en testant systématiquement toutes les combinaisons possibles jusqu’à trouver la bonne. Cette méthode repose sur la puissance de calcul et peut être utilisée pour attaquer des systèmes peu sécurisés ou mal configurés.
Il existe de multiples types de CAPTCHA, dont voici les plus connus :
CAPTCHA basé sur du texte : vous devrez recopier un texte constitué de lettres et de chiffres déformés.
CAPTCHA basé sur des images : vous devrez sélectionner toutes les images comportant un élément particulier.
CAPTCHA basé sur des puzzles : vous devrez glisser une pièce d’un puzzle jusqu’à ce qu’il complète l’image
ReCAPTCHA v2 : l’utilisateur doit cocher une case « je ne suis pas un robot ». En parallèle, le système vérifie le comportement de l’utilisateur en arrière-plan (mouvements de souris, temps passé sur une page … ) et détermine s’il s’agit bien d’un humain. S’il a un doute, un test supplémentaire basé sur des images ou audios est affiché.
ReCAPTCHA v3 : Google a développé cette version pour simplifier davantage la vie des utilisateurs. Comme pour ReCAPTCHA v2, le système surveille les actions de l’utilisateur pour contrôler qu’il ne s’agit pas d’un bot, à la différence près qu’il n’y a plus de case à cocher. Tout est automatique.
CAPTCHA audio : parfois inclus dans les CAPTCHA visuels comme une alternative audio pour les personnes ayant un handicap physique ou cognitif. Il s’agit ici de présenter un enregistrement audio citant des chiffres que l’utilisateur est invité à recopier dans un champ texte pour vérification.
Malgré son intérêt pour sécuriser les sites internet, recourir à des CAPTCHA peut poser certains problèmes :
Ils sont parfois compliqués à comprendre et il n’est pas rare de s’y prendre à plusieurs reprises pour en résoudre un, surtout quand il s’agit de CAPTCHA image où l’on peut passer à côté d’un élément par inattention. Alors que nous essayons de toujours rendre plus simples la navigation et la saisie des formulaires, cette méthode de sécurisation rajoute une étape supplémentaire qui ralentit les interactions de l’utilisateur et peut devenir agaçante.
Ce système de sécurité risque de frustrer vos visiteurs et les pousser à abandonner leur saisie de formulaire, voire même quitter le site, augmentant ainsi le taux de rebond et diminuant les conversions.
Ils sont également mauvais pour l’accessibilité, et peuvent bloquer la navigation et les actions de l’utilisateur si aucune alternative n’est prévue. Certains CAPTCHA sont d’ailleurs mal perçus par les lecteurs d’écran.
À force d’apprentissage, les bots sont maintenant en mesure de contourner certains CAPTCHA grâce à la reconnaissance d’images ou de caractères. Le système n’est donc plus aussi infaillible qu’avant. Pour arriver à leurs fins, les organismes malveillants font même appel à des fermes à CAPTCHA. Il s’agit d’entreprise composée d’équipes de travailleurs humains sous-payés qui résolvent eux-mêmes les CAPTCHA.
Enfin, si du contenu est protégé par un CAPTCHA, il ne pourra pas être indexé par Google à cause de celui-ci. Il y a donc des risques sur le référencement de votre site.
Besoin d'un accompagnement dans la création ou refonte de votre site internet ?
Découvrez nos services sur-mesure et nos méthodes de gestion de projet basé sur l’agilité.
Aujourd’hui, de nouvelles solutions existent pour sécuriser vos sites face aux actions malveillantes, tout en conservant une expérience utilisateur agréable.
L’outil Google reCAPTCHA v3 aurait pu être perçu comme un bon choix pour se protéger du spam puisqu’il fonctionne en arrière-plan en observant les actions de l’utilisateur (navigation, déplacement du curseur de la souris) pour s’assurer qu’il s’agit bien d’un comportement humain. Mais son fonctionnement n’est pas conforme au RGPD pour plusieurs raisons :
- Il dépose un cookie automatique pour pouvoir analyser les agissements du visiteur, or en France, il est obligatoire de demander l’avis de l’utilisateur avant d’en déposer.
- Il collecte des données personnelles sans en informer l’utilisateur.
- Les données sont transférées et traitées hors de l’Union européenne, aux États-Unis, ce qui peut poser des questions en matière de sécurité, car les normes ne sont pas les mêmes que celles du RGPD français.
La technique du pot de miel (Honeypot) consiste à ajouter un champ caché visuellement, mais que seuls les robots sont capables de voir.
Quand un robot spammeur arrive sur un formulaire, il cherchera automatiquement à remplir tous les champs. Avec cette méthode, nous pouvons les repérer facilement et bloquer l’envoi des formulaires. Cette technique est rapide et simple à mettre en place, mais elle est rarement efficace face à des bots de plus en plus intelligents.
Utiliser des réseaux sociaux ou des fournisseurs d’identité digne de confiance comme France Connect.
Les sites du gouvernement français proposent d’utiliser ces services pour se connecter et accéder aux démarches qu’ils offrent. Cette solution permet de s’assurer que l’utilisateur est bien humain et de rassurer l’utilisateur sur le processus de sécurité mis en place. En revanche, l’utilisation de solution tierce interrompt la navigation du visiteur le temps de prouver son identité et de revenir sur le site initial, dégradant d’une certaine façon l’expérience de l’utilisateur sur le site.
Chez Imagile, nous utilisons la solution Anti-spam de CleanTalk sur nos projets WordPress, Rails, Symfony et Laravel. Il offre une protection sur tous nos formulaires sans avoir à utiliser des CAPTCHA. Cet outil s’appuie sur plusieurs techniques pour identifier et bloquer les bots :
- Analyse de la vitesse de remplissage des formulaires
- Cohérence et respect des formats des champs
- Vérification de l’adresse IP. Il vérifie que l’adresse ne soit pas déjà présente dans un fichier d’adresses utilisées régulièrement pour du spam.
Ce plugin est mis à jour constamment pour s’adapter aux nouvelles techniques développées par les attaquants.
En plus d’offrir un très bon niveau de protection face aux spams, cet anti-spam dispose de réglages pour respecter la norme RGPD. Nous pouvons réduire la quantité de données collectées au strict nécessaire, les anonymiser et choisir de les stocker sur des serveurs européens.
Toutes ces alternatives ne sont pas infaillibles et peuvent engendrer de faux positif (humain identifié comme un robot). Mais elles offrent tout de même une grande protection tout en préservant l’UX.
Les CAPTCHA, malgré leur efficacité contre le spam, peuvent nuire à l’accessibilité, à la conformité RGPD et à l’expérience utilisateur. Des alternatives comme les honeypots ou l’analyse comportementale offrent des solutions plus fluides et respectueuses. En adoptant ces approches, il est possible de concilier sécurité et UX optimale. Et demain, avec l’évolution des technologies, d’autres méthodes innovantes pourraient encore améliorer cette équation délicate entre protection et expérience utilisateur.