Cet article a été traduit automatiquement.
Un test de Turing public entièrement automatisé permettant de distinguer les ordinateurs des humains (CAPTCHA) est conçu pour limiter l'accès. Si vous êtes un humain, vous pouvez passer ces tests et obtenir l'accès. Si vous êtes un bot, vous ne pouvez pas.
La quasi-totalité du million de sites web les plus fréquentés au monde utilise un formulaire CAPTCHA. Mais certains estiment que les technologies comportent tellement de limitations qu'elles devraient être supprimées.
Qui a raison ? Qui a tort ? Que devez-vous faire pour protéger votre entreprise ?
Voyons ce que sont les CAPTCHA, comment ils fonctionnent et pourquoi vous pourriez envisager de les ajouter à vos ressources basées sur le site web.
Qu'est-ce que le CAPTCHA ?
Vous naviguez sur un site web et vous voulez faire quelque chose quand vous arrivez. Vous souhaitez peut-être log, prendre un rendez-vous, programmer un achat ou laisser un commentaire. Avant de pouvoir faire quoi que ce soit, vous devez passer un petit test. Cet examen se trouve généralement dans le formulaire CAPTCHA.
Les tests CAPTCHA existent depuis le milieu des années 1990, lorsque les propriétaires de sites web avaient besoin d'outils pour empêcher les spammeurs de gâcher l'expérience des utilisateurs.
Aujourd'hui, les concepteurs de sites web peuvent utiliser le code CAPTCHA pour :
- Prévenir. Le code pourrait empêcher les robots d'inonder les blogs et les sections de commentaires avec des notes sur les sites Web, les ventes, les films, etc. Le code pourrait également empêcher le robot de soumettre un formulaire (comme un vote) plus d'une fois.
- Protégez. Si votre site propose une inscription, un CAPTCHA peut empêcher un robot de demander des centaines ou des milliers de noms d'utilisateur/tabac. Cette même technique permet de protéger votre adresse web contre les spammeurs.
- Bouclier. Le code CAPTCHA peut empêcher les robots de lancer des attaques par dictionnaire sur vos systèmes de mots de passe. Les protections contre les vers de courrier électronique sont également incluses dans le code.
Nous avons tous rencontré un CAPTCHA au moins une fois en parcourant des sites web et en essayant de remplir des formulaires. Tout ce qui implique de résoudre une énigme ou de passer un test avant de pouvoir aller de l'avant est un exemple de ces technologies. Mais il existe de nombreux types de CAPTCHA, dont certains que vous n'avez peut-être jamais vus auparavant.
Un test CAPTCHA pourrait impliquer :
- Images. On vous montre une photo d'un objet que vous reconnaissez (comme un coin de rue) et on vous demande de taper sur tout ce qui correspond à une catégorie (comme les trottoirs).
- Chiffres. Le test vous présente une équation mathématique simple que vous devez résoudre.
- Le son. Quelqu'un prononce une série de lettres et de chiffres que vous devez saisir correctement.
- Texte. Vous voyez une série de lettres, et des interférences (comme une ligne ou une bulle) rendent la lecture de l'informatique quelque peu difficile. Vous devez saisir les bonnes lettres dans le bon ordre.
Les tests CAPTCHA peuvent également être remarquablement créatifs. Il se peut que l'on vous donne une phrase dans laquelle il manque un ou deux mots et que vous deviez la compléter en suivant les instructions. Certains concepteurs ont même recours à des énigmes, en demandant par exemple à l'utilisateur de poser au sol des objets qui ne volent pas.
Comment fonctionnent les tests CAPTCHA ?
Que vous utilisiez des images, des chiffres, des mots ou des jeux, vous présentez à un être humain une demande d'authentification qu'un ordinateur ne peut pas remplir. Chaque test CAPTCHA repose sur l'idée que les humains sont plus intelligents que les ordinateurs.
Les programmeurs peuvent forcer les ordinateurs à réagir de plusieurs manières lorsqu'ils reçoivent une demande d'authentification. Par exemple, le code pourrait indiquer à bot de toujours saisir "554" dans une case ouverte. Mais le CAPTCHA change constamment, même sur le même site, de sorte que les techniques préprogrammées ne fonctionnent pas. Pour qu'une attaque réussisse, le code doit toujours changer lui aussi. Et le hacker moyen n'a pas assez de temps pour y parvenir.
Avantages & Inconvénients du code CAPTCHA
Le bot peut ruiner l'expérience de votre site web pour les utilisateurs. Personne n'a envie de parcourir des sections de commentaires remplies de réponses automatisées. Et votre équipe sécurité ne veut pas gérer les risques supplémentaires que pose la devinette du mot de passe. Si la sécurité et l'expérience de l'utilisateur sont essentielles, le CAPTCHA prend tout son sens.
Mais il existe de réels inconvénients, notamment
- Sensibilité à la sécurité. Les programmes dotés de capacités d'apprentissage automatique peuvent déchiffrer même un code CAPTCHA bien conçu. Si vous placez les tests sur votre site et négligez le suivi, vous risquez de laisser votre entreprise ouverte aux pirates informatiques. Un attaquant déterminé pourrait également engager des personnes pour résoudre votre code et obtenir l'accès.
- Exigences législatives. Dans la plupart des États américains, vous devez rendre votre site accessible à tous, y compris aux malvoyants et aux malentendants. Si vos tests CAPTCHA reposent uniquement sur des indices visuels ou sonores, les technologies d'assistance ne peuvent pas les interpréter. En effet, vous empêchez les gens d'utiliser votre site et vous risquez de vous voir infliger une lourde amende.
- Barrières linguistiques. Les chercheurs affirment que les personnes dont l'anglais n'est pas la langue maternelle ont souvent du mal à comprendre les CAPTCHA. Ils ont besoin de plus de temps pour reconnaître les lettres anglaises et peuvent ne pas comprendre comment réaliser des tests basés sur des phrases. Si votre site est accessible à des personnes parlant d'autres langues, vous risquez d'exclure des membres de vos profils cibles potentiels.
- Limites culturelles. Les demandes d'authentification qui fonctionnent en Amérique peuvent ne pas fonctionner en Grèce. Par exemple, si votre demande d'authentification concerne les feux de circulation aux États-Unis, vous risquez de déconcerter vos visiteurs étrangers.
Il n'est pas toujours facile de trouver un équilibre entre la sécurité et l'accessibilité. Le CAPTCHA rend la tâche exponentiellement plus difficile.
Alternatives au test CAPTCHA
Un test CAPTCHA standard peut rendre plus difficile l'accès et l'utilisation de votre site web. Mais vous n'êtes pas obligé d'utiliser les technologies ou d'éliminer complètement les technologies de l'information. Appuyez-vous sur d'autres options pour vous aider à sécuriser vos ressources.
Un système sans CAPTCHA/reCAPTCHA offre deux choix. Un utilisateur standard peut cliquer sur une case qui dit : "Je ne suis pas un robot," et continuer normalement. Si le système détecte une activité qui semble suspecte, une boîte CAPTCHA apparaît et l'utilisateur doit répondre à la demande d'authentification.
Vous pouvez également vous appuyer sur des outils de détection du spam. Ces programmes examinent les données fournies par l'utilisateur et signalent tout élément suspect pour approbation ou suppression. Un tel système est invisible pour votre utilisateur, mais il assure la sécurité de votre site.
Chez Okta, nous croyons en une sécurité qui protège les données sans alourdir le fardeau de l'utilisateur. Nous serions ravis de vous expliquer comment nous pouvons vous aider à concilier sécurité et convivialité au sein de votre organisation. Contactez-nous et entamons une conversation.
Références
Distribution de l'utilisation des CAPTCHA dans les 1 million de sites les plus fréquentés. (Février 2021). Construit avec.
« Home », CAPTCHA.
Les CAPTCHA peuvent ruiner votre UX. Voici comment l'utiliser correctement. (Novembre 2020). Auth0.
Tout ce que vous devez savoir sur les CAPTCHA. (avril 2017), Medium.
Quelle est la capacité des humains à résoudre les CAPTCHAs ? Une évaluation à grande échelle. (2010). Université de Stanford.
Pourquoi les CAPTCHAs sont devenus si difficiles. (février 2019). The Verge.
À la recherche des meilleurs CAPTCHAs. (mars 2011). Smashing Magazine.
