Google a décidé d’en finir avec les CAPTCHA traditionnels en présentant une nouvelle solution. Baptisée reCAPTCHA, elle abandonne les textes tordus et autres astuces visuelles pour se baser sur une simple case à cocher. Explications.
Des textes de plus en plus difficiles à lire
Les CAPTCHA sont célèbres. Il s’agit de ces groupes de lettres et/ou de chiffres, le plus souvent tordus, que l’utilisateur doit lire et reproduire correctement dans un champ texte. L’objectif est de prouver que l’utilisateur est bien ce qu’il prétend être, à savoir un humain, afin de laisser à la porte tous les systèmes automatisés. Certains bots ont en effet la fâcheuse habitude de créer des comptes pour générer du spam par exemple.
Le problème des CAPTCHA habituels est qu’ils procurent une expérience utilisateur assez médiocre. Dans de nombreux cas, ils sont difficiles à lire, ce qui est d’ailleurs leur comble : il est parfois difficile pour un être humain de prouver qu’il l’est vraiment tant le texte est illisible. Ce qui l’oblige du coup à rafraîchir le CAPTCHA jusqu’à ce qu’il tombe sur un groupe de lettres à peu près compréhensible. Et la situation ne faisait qu’empirer puisque les bots étaient de plus en plus sophistiqués, forçant les solutions à s’adapter en conséquence, avec du texte toujours plus difficile à lire.
Le CAPTCHA facile : une simple case à cocher
Chez Google, une équipe chargée d’inspecter la sécurité réelle des CAPTCHA s’est rendu compte il y a environ un an et demi qu’elle pouvait leurrer le système en faisant passer un programme informatique pour un être humain. Conséquence : si les ingénieurs de Google pouvaient y arriver, d’autres pouvaient le faire. La firme trouvait également que l’expérience pouvait être largement améliorée et de nombreux systèmes tiers de remplacement ont fait leur apparition avec les années, basés sur Flash, HTML5 ou d'autres.
La nouvelle solution de la firme se nomme reCAPTCHA, un nom hérité de l'entreprise rachetée en 2009. Fini le texte, et place à la case à cocher.
Comme le montre la vidéo ci-dessus, l’utilisateur n’a qu’une case à cocher pour indiquer qu’il n’est pas un robot. Mais un bot ne pourrait-il justement pas cocher lui-même la case ? Si, mais l’important n’est l’action elle-même, c’est la manière dont elle a été effectuée.
Un moteur analyse les risques et sépare le bon grain de l'ivraie
Sur la page officielle consacrée à reCAPTCHA, Google explique en effet que le système est pourvu d’un moteur d’analyse de risque qui prend en compte toutes les actions de l’utilisateur qui ont mené vers la case afin de déterminer s’il est bien humain ou pas. Si le moteur estime que c’est le cas, il laisse passer l’utilisateur vers l’étape suivante. S’il a un doute, il passe par une seconde phase : une série de photos présentant un intrus à retrouver. Une étape simple sur le plan cognitif pour un cerveau, beaucoup plus complexe pour un programme (trouver une photo similaire à celle présentée). Pour Google, ces grilles de photos offrent également l’avantage d’une plus grande simplicité depuis un appareil mobile. Notez cependant que la seconde phase peut utiliser également un CAPTCHA classique.
Le moteur d’analyse de risque est selon Google particulièrement évolué. Il s’enrichit également sans cesse : toutes les actions menées par les utilisateurs servent à lui apprendre à affiner sa détection de ce qui semble réel ou, au contraire, de ce qui est simulé. On imagine que les mouvements de la souris sont particulièrement précieux. Vinay Shet, responsable du produit chez Google, a ainsi indiqué à The Next Web que le moteur « utilise l’apprentissage automatique, qui utilise un certain nombre de stratégies et apprend à quoi ressemble un utilisateur normal, pour que la prochaine fois qu’un nouveau venu se présente, il sache quoi chercher ».
Une solution déjà utilisée par d'autres
Mais attention, on ne rencontrera pas reCAPTCHA tout de suite dans toutes les pages d’inscription de Google. Vinay Shet a précisé en effet qu’une « fraction » des utilisateurs seulement profitera de la nouvelle protection, le temps que le moteur d’analyse de risque s’adapte petit à petit. Ce qui n’empêche pas Google de proposer sa solution sous la forme d’une API afin que d’autres puissent l’utiliser.
Et reCAPTCHA a bien en fait déjà été utilisé. Google était en effet en relation avec diverses entreprises ou structures qui ont adopté la solution précocement pour en tester l’efficacité. C’est le cas par exemple de Wordpress, Vinay Shet indiquant que 60 % des utilisateurs bénéficient désormais du service à l’inscription. Snapchat en bénéficie également, mais c’est sans doute l’offre Humble Bundle de la semaine dernière qui a vu le plus haut score d’utilisation de reCAPTCHA avec 80 % des inscriptions.
Sachez enfin que reCAPTCHA propose également une variante pour les malvoyants avec une version audio. Là encore, le moteur d’analyse entre en action pour déterminer si l’utilisateur semble humain ou informatique. Le CAPTCHA sonore présenté alors est plus ou moins difficile en fonction du résultat, la version plus complexe étant réservée aux suspicions de robots.
Les intéressés pourront consulter le site officiel de cette solution (en anglais) ainsi que les informations pour les développeurs qui aimeraient l’intégrer sur leurs pages web.
