X
Julie Côté

Le CAPTCHA, cette méthode très humaine

Depuis longtemps, les humains ont toujours craint d’être envahis par des robots. Surtout par rapport aux sites Internet, où une attaque générée par des robots peut être catastrophique et coûter cher de réparations. Une méthode, vieille de 20 ans, permet à un site Internet de déterminer si son utilisateur est humain ou non : le CAPTCHA. D’ailleurs, vous n’êtes pas seuls à l’utiliser alors que, selon ses inventeurs, plus de 500 000 heures sont consacrées chaque jour dans le monde à déchiffrer des Captchas. Nous revenons sur sa petite histoire, son futur et comment l’implémenter.

Commercialisé et déposé comme marque en 2003 par Luis von Ahn, Manuel Blum, Nicholas J. Hopper et John Langford, mais utilisée depuis 1997, CAPTCHA est un acronyme pour « completely automated public Turing test to tell computers and humans apart ». Cette méthode de vérification originale 1,0 demandait à l’utilisateur d’identifier une séquence de lettres et de chiffres à travers une image distorsionnée.

En 2009, un nouveau et désormais populaire déploiement de cette technologie, le reCAPTCHA, a été acheté par Google. Contrairement à la méthode originale, ce ne sont pas un, mais deux mots qui sont présentés à l’utilisateur. L’un d’eux est un CAPTCHA habituel, dont la solution est par conséquent connue de manière certaine ; seul l’autre est issu de la numérisation d’un livre : c’est celui dont la solution est incertaine, voire inconnue, et que l’utilisateur va aider à résoudre. Cette méthode est utilisée par plusieurs sites Internet aujourd’hui, dont Facebook, TicketMaster, Twitter, 4chan, CNN.com, StumbleUpon et Craigslist. La forme de reCAPTCHA la plus souvent utilisée, c’est le simple crochet à faire à côté de la phrase « Je ne suis pas un robot. ».

Il y a aujourd’hui plusieurs formes de CAPTCHA, en plus de celles mentionnées précédemment. On compte notamment la forme du jeu-questionnaire, ou une question simple du genre « Quel est le nom de l’hébergeur PlanetHoster ? ». L’avantage de ce CAPTCHA, c’est qu’il est très facile à implémenter sur un site unilingue, mais très peu pratique pour les multilingues. Il y a également l’extrait audio, utilisé la plupart du temps pour les malvoyants qui diffuse un extrait sonore assez parasité avec une suite de nombres à identifier. Cette méthode demande évidemment que le son soit bien ajusté, sinon l’utilisateur risque de renoncer à remettre son formulaire.

Il y a également ce qu’on appelle le champ invisible, ou un espace supplémentaire est ajouté dans le formulaire et demande aux utilisateurs de ne pas le remplir. Un robot ne fera pas la distinction et le remplira quand même. Un autre type bien apprécié des entreprises est le CAPTCHA publicitaire, où l’on reprend la même idée du texte déformé, mais en demandant de reprendre le nom et le slogan d’une compagnie avec son slogan. Avec cette méthode, on fait d’une pierre deux coups avec un blocage des robots et un encart publicitaire. Finalement il existe aussi le test de logique, où l’on vous demande d’associer une image à un nom. Plusieurs médias sociaux ont opté pour cette approche.

Cependant, le reCAPTCHA de Google possède son lot de controverses et de critiques. En février 2018, la justice américaine a rejeté la plainte d’une femme qui souhaitait attaquer Google dans un recours collectif, accusant l’entreprise de « tirer profit » de la « main d’œuvre gratuite » que représentent les internautes. En effet, la femme mentionnait qu’en remplissant les Captchas utilisés par Google, les internautes ne se contentent pas de prouver leur humanité : ils participent, souvent sans le savoir, à des projets plus larges, comme alimenter une base de données pour le moteur de recherche.

Aussi, plus récemment, Google a décidé de changer son modèle d’affaires pour rendre les clés d’accès reCAPTCHA payantes. Ce qui est tout à fait légitime pour une entreprise, mais de par cette décision et de récentes critiques de la version plus récente du logiciel est né un compétiteur : hCaptcha, développé par la compagnie Intuition Machines. Parce que la vérification des usagers et des adresses IP reste une tâche essentielle, les compagnies qui utilisent hCaptcha sont payées au nombre d’utilisateurs qui remplissent le captcha avec succès. Dépendamment du trafic sur votre site Internet, ce captcha peut se révéler assez lucratif.

Comment l’installer ?

Étant donné que nous ne cherchons pas à prendre de parti pris, voici comment installer reCAPTCHA, tel que mentionné dans la base de connaissances et hCaptcha pour votre site WordPress. Avant tout, un outil peut être également assez efficace pour accompagner vos captchas : un fichier texte pour contrer les robots, qu’on nomme robot.txt. Plusieurs fichiers sont habituellement présents pour un même site web. Ils résident à la base d’un site Internet, respectent le protocole d’exclusion des robots et énoncent une ou plusieurs règles. Chacune indique si un robot d’exploration donné est autorisé ou non à accéder à un fichier spécifique du site Web, précisé par son chemin d’accès. Il est recommandé d’avoir ces fichiers, dans votre gestionnaire de fichiers, dans le dossier public_html.

ReCAPTCHA

Étape #1 : L’activation

1.1- Premièrement, il faut générer le jeu de clés nécessaire au fonctionnement du dispositif anti-robot Google reCAPTCHA. Pour cela, il faut se connecter/s’enregistrer sur le site suivant.

https://www.google.com/recaptcha/

 

1.2- Cliquez sur le bouton bleu « Admin Console ».

1.3- En haut à droite de la console admin, cliquez sur le signe + (create).

1.4- Remplissez les champs.

  • Label : Nom de référence que vous donnez afin de bien savoir à quel site correspond ce jeu de clé.
  • reCAPTCHA type : V2 va demander à l’utilisateur de résoudre un casse-tête. V3 va automatiquement établir si le visiteur est un robot ou pas grâce à des analyses sophistiquées.
  • Domains: indiquez le ou les nom(s) de domaine du ou des site(s) pour le(s) quel(s) vous générez un jeu de clé reCAPTCHA.
  • Owners : Normalement, ce champ sera automatiquement rempli, mais vous pourrez ajouter un contact supplémentaire ou même plusieurs.

 

1.5- Acceptez les conditions d’utilisation et cliquez sur « Submit ».

1.6- Enfin, Google vous indique le jeu de clé à mettre en place dans la configuration reCAPTCHA de votre formulaire de contact.

Étape #2 : L’activation dans WPforms

2.1- Cliquez sur “Réglages” dans le volet de gauche de votre tableau de bord WordPress > WPForms et choisir la section nommée reCAPTCHA :

Type : reCAPTCHA v2 ou v3 selon ce que vous aviez choisi lors de la création du jeu de clé.

  • Clé du site : corresponds à la clé du site lors de la création du jeu de clé.
  • Clé secrète : corresponds à la clé secrète lors de la création du jeu de clé.
  • Score Threshold (0,4 par défaut) : reCAPTCHA v3 va déterminer automatiquement si l’utilisateur est un robot. Ce réglage permet de contrôler l’agressivité de reCAPTCHA v3. 0 = agressif/0,5 = moyen/1= souple.
  • Mode sans conflit : À utiliser seulement qu’en cas de souci. Cela va supprimer les autres occurrences de reCAPTCHA afin d’éviter des conflits.

 

2.2- Cliquez sur le bouton orangé nommé “Enregistrer les réglages”.

Étape #3 : L’activation de l’anti-robot

3.1- Dans le tableau de bord WordPress, cliquez sur WPForms > Tous les formulaires et cliquez sur le formulaire de contact > Modifier.

3.2- WordPress vous dirigera ensuite dans le créateur de formulaires de contact WPForms, se rendre dans la section Réglages > Général. Cochez le bouton “Enable Google reCAPTCHA.”

3.3- Enregistrez le formulaire de contact en cliquant sur le bouton orangé l’indiquant.

Maintenant toutes les étapes ont correctement été suivies, mais le formulaire de contact n’apparaît toujours pas sur mon site. C’est normal! Pour cela il faudra publier une page de contact dans son WordPress.

 

1- Dans le tableau de bord WordPress, cliquer sur WPForms > Tous les formulaires et cliquer sur le formulaire de contact  > Modifier

 

2-  Dans le créateur de formulaire de contact en haut à droite cliquer sur le bouton gris nommé </>Intégration:

3- WPForms vous indiquera ensuite dans une fenêtre pop-up  le code à copier dans le presse papier.  Il ne suffira donc qu’à coller le code indiqué dans un article ou une page de votre WordPress:

4- Retournez dans le tableau de bord > Articles > Ajouter :

  • Donnez un titre à la page
  • Y coller le code d’intégration de WPforms
  • Publiez la page

5- Félicitations!  Le formulaire de contact a bien été publié et est 100% sécurisé contre les SPAM en plus d’être conforme au RGPD, le règlement Général sur la Protection des données.

 

HCaptcha

1.Inscrivez-vous sur hCaptcha.com pour obtenir votre clé de site (qui identifiera le site à travers hCaptcha) et votre clé secrète (qui servira de mot de passe).

2. Connectez-vous directement dans votre espace WordPress.

 

3. Rendez-vous dans l’onglet “Plugins” et sélectionnez l’option “Ajouter”.

4. Cherchez le plugiciel “hCaptcha pour WordPress” et cliquez sur l’option “Installer maintenant”

5. Cliquez sur Activer après l’installation.

 

6. Cliquez sur l’option “Réglages” et sélectionnez l’option “hCaptcha”. Vous n’aurez qu’à y entrer votre clé de site et votre clé secrète.

7. Choisissez les formulaires à protéger.

8. Il ne vous restera qu’à cliquer sur le bouton “Enregistrer les réglages hCaptcha”.


Voir les commentaires

  • C'est vrai que le Captcha nous permet de filtrer les demandes spam sur les formulaires, mais il faut toujours tester soit même ses formulaires chaque semaine pour voir si ça fonctionne toujours, parce que , comme pour chaque accès api, tout changement dans le site bloquera le fonctionnement du Captcha comme l'absence ou la mise en place du htaccess, où que le plugin sur wordpress n'a pas été mis à jour etc...En ce qui concerne prestashop, il y a presque deux ans, tous les sites ou presque, ont été spammés par des inscriptions de masses en tant que clients sur les différents boutiques en ligne qui utilisent la solution prestashop, et outre la solution technique et ajoutant un patch de sécurité pour corrigé cela, l'équipe de prestashop a demandé à ce que le Captcha soit mis en place pour bloquer ces tentative.

  • Le Captcha est un désastre d'UX (agaçant pour l'utilisateur, appel à ressource externe qui ralentit...) et une plaie de confidentialité.

    Le pot de miel est la meilleure solution, sous WordPress, j'utilise systématiquement l'extension Zero spam : https://wordpress.org/plugins/zero-spam/