Depuis 2018, les puzzles CAPTCHA ont disparu au profit de reCAPTCHA v3, un système invisible qui note la « probabilité humaine » à partir de l’analyse comportementale. Selon Numerama, ce changement n’est pas récent et a été provoqué par le reCAPTCHA v3 qui fonctionne sans aucune interaction visible.

Ce qu'il faut retenir

  • Les puzzles CAPTCHA ont disparu au profit de reCAPTCHA v3 depuis 2018.
  • Le reCAPTCHA v3 fonctionne sans aucune interaction visible et note la « probabilité humaine » à partir de l’analyse comportementale.
  • Cloudflare Turnstile reprend cette approche en promettant une collecte de données plus frugale.
  • Le système invisible utilise des autorisations cryptographiques comme Web Bot Auth et les preuves à connaissance nulle.
  • Les reCAPTCHA v3 de Google se valident et ne nécessitent, dans la plupart des cas, aucune action de l’utilisateur.
  • Les bots les plus sophistiqués simulent déjà des trajectoires de souris réalistes et imitent des empreintes de navigateur humaines.
  • L’avènement des agents IA complique encore davantage l’équation.
  • Les protocoles émergents comme Web Bot Auth ou les preuves à connaissance nulle déplacent le problème vers une autre question : « as-tu le droit d’être là ? ».

Pendant des années, prouver qu’on était humain ressemblait à un examen de conduite : identifier des feux tricolores, reconnaître des bus ou des vélos sur des grilles pixelisées. Des petits rituels qui ont structuré une décennie entière de navigation. Puis ils ont disparu, presque sans qu’on s’en rende compte, pour laisser place à un système moins visible et plus sophistiqué.

Nous sommes en 2000 et à la demande de Yahoo!, une équipe de chercheurs de Carnegie Mellon incluant l’informaticien Luis von Ahn crée le CAPTCHA, un acronyme pour Completely Automated Public Turing test to tell Computers and Humans Apart. L’objectif est simple : empêcher au maximum les bots de naviguer sur le web comme des êtres humains.

Le CAPTCHA doit suivre la cadence, les capacités des ordinateurs progressant. Quand Google rachète reCAPTCHA en 2009 et le transforme en grilles d’images, le dispositif devient universel. Pendant dix ans, des milliards d’internautes cliquent sur des bus, des ponts, des vélos. Puis les puzzles ont à leur tour disparu, non pas parce que le problème des bots s’est résolu, mais parce qu’une nouvelle approche les a rendus inutiles.

Le changement n’est pas récent. Ce qui a provoqué la disparition des puzzles, c’est le reCAPTCHA v3 qui, depuis son instauration en 2018, fonctionne sans aucune interaction visible. Un script JavaScript tourne en arrière-plan, analyse votre comportement : mouvements de souris, vitesse de défilement, empreinte du navigateur, cookies, plugins installés. Cela, fin d’attribue un score entre 0 et 1. Zéro : probablement un bot. Un : probablement un humain.

La différence avec les systèmes précédents est fondamentale. Avant, on testait ce que vous faisiez. Désormais, on évalue ce que vous êtes, ou plutôt, ce que votre comportement passif révèle de vous en permanence. Cloudflare Turnstile fonctionne sur le même principe, en revendiquant une collecte de données plus limitée, une réponse directe aux critiques adressées à Google sur la vie privée, et aux mises en demeure de plusieurs autorités européennes dont la CNIL.

Les reCAPTCHA v3 de Google se valident et ne nécessitent, dans la plupart des cas, aucune action de l’utilisateur. Mais quand pourra s’interrompre cette course constante entre les capacités des bots et celles des CAPTCHA ? Ou plutôt à quelles évolutions s’attendre ? Car les bots les plus sophistiqués simulent déjà des trajectoires de souris réalistes, s’appuient sur des adresses IP d’internautes réels pour contourner les systèmes comportementaux, et imitent des empreintes de navigateur humaines.

Et maintenant ?

Il est difficile de prédire comment les bots et les CAPTCHA évolueront à l'avenir. Cependant, il est probable que les protocoles émergents comme Web Bot Auth ou les preuves à connaissance nulle deviendront de plus en plus importants pour distinguer les humains des bots. Les autorités européennes, notamment la CNIL, continueront probablement à surveiller de près la collecte de données par les CAPTCHA.

Les CAPTCHA invisibles ont pour avantage de ne pas déranger les utilisateurs, mais ils peuvent également collecter des données personnelles sans leur consentement.

Les CAPTCHA invisibles peuvent collecter des données personnelles sans le consentement des utilisateurs, ce qui peut poser des problèmes de vie privée.