Les CAPTCHA sont l’un des désagréments les plus connus de l’ère d’Internet. Ces lettres ondulées et ces images confuses qui surgissent pour vérifier si nous sommes vraiment humains sont une frustration quotidienne pour des millions d'internautes. Mais comment en sommes-nous arrivés à ce que les CAPTCHA dominent l’authentification en ligne, malgré leurs inconvénients ? Sont-ils toujours efficaces contre des robots de plus en plus sophistiqués ? Et quel avenir réserve aux CAPTCHA et à leurs solveurs, humains ou autres ?
Dans cette plongée approfondie, nous explorerons le passé, le présent et l'avenir des CAPTCHA : pourquoi ils sont devenus omniprésents, comment ils ont été battus et innover au-delà d'eux.
Une brève histoire de la lutte contre les robots avec les CAPTCHA
Les CAPTCHA textuels trouvent leurs origines dans des documents de recherche des années 1990 axés sur la distinction entre les ordinateurs et les humains en utilisant un texte déformé, illisible par les machines. La première mise en œuvre généralisée du CAPTCHA a eu lieu au début des années 2000 par Ticketmaster pour se défendre contre les robots automatisés d'achat de billets en gros.
Mais ce n'est que lorsque Luis von Ahn, informaticien de l'Université Carnegie Mellon, a développé la première version de reCAPTCHA en 2007 que les CAPTCHA ont réellement pris le dessus sur le Web. Acquis par Google en 2009, reCAPTCHA fut bientôt diffusé plus de 100 millions de fois par jour sur des sites essayant d'arrêter le spam et les faux comptes.
Google a fait évoluer reCAPTCHA au fil du temps, introduisant pour la première fois des images déformées en 2013 avant de passer à la case à cocher « Je ne suis pas un robot » appuyée par une analyse de risque avancée que nous voyons encore aujourd'hui. Les critiques ont fait valoir qu’à chaque changement, reCAPTCHA devenait de plus en plus mauvais pour les utilisateurs légitimes alors qu’il essayait de garder une longueur d’avance sur les robots.
Mais Google était loin d’être le seul acteur dans ce domaine. De nombreuses startups sont apparues proposant leurs propres services CAPTCHA et chaque grande entreprise technologique semblait avoir sa propre vision – des CAPTCHA artistiques ASCII de courte durée de Facebook aux énigmes désormais rarement difficiles de LinkedIn.
Même si les détails variaient, l’objectif sous-jacent restait le même : utiliser des tests visuels et les capacités cognitives humaines pour essayer de distinguer les robots des humains. Mais à mesure que l’IA progressait, garder une longueur d’avance est devenu plus difficile, et de plus en plus de personnes ont réalisé que les CAPTCHA étaient conçus pour une mauvaise expérience utilisateur.
La case à cocher reCAPTCHA – à peine perceptible mais toujours résoluble par des robots avancés
L'éthique trouble et l'échelle cachée de la résolution de CAPTCHA
Pour comprendre les CAPTCHA modernes, nous devons parler des fermes CAPTCHA. Des services de résolution de CAPTCHA proposant des solveurs humains à la demande et bon marché sont apparus peu de temps après que les CAPTCHA textuels ont gagné en popularité afin d'aider les spammeurs et les opérateurs de robots à contourner les protections.
Des services comme 2Captcha, Kolop et Anti-Captcha ont dominé l'espace. Un solveur travaillant pour de tels services pourrait gagner seulement 2 dollars pour résoudre 1000 XNUMX CAPTCHA, soit l’équivalent de quelques dollars de l’heure pour un travail fastidieux et répétitif.
Bien que les chiffres précis soient rares, certaines estimations suggèrent que l'industrie de la résolution de CAPTCHA emploie plus de 100,000 300 personnes et rapporte entre 500 et 2020 millions de dollars par an. Une étude réalisée en 70 par Intensity Labs basée sur les données de XNUMX services de résolution de captcha a révélé :
- Le temps de résolution moyen était de 7.8 secondes par CAPTCHA
- Les prix étaient en moyenne de 1.34 $ pour mille CAPTCHA résolus
- 65 % des services reposaient entièrement sur des solveurs humains tandis que 35 % utilisaient une certaine assistance par l'IA
Cette main-d'œuvre massive et invisible qui résout les CAPTCHA à grande échelle opère dans des régions où le coût de la vie est très faible, comme l'Asie du Sud-Est, l'Afrique et l'Amérique du Sud. Pour les travailleurs de ces pays les plus pauvres, résoudre des CAPTCHA représente un revenu stable, quoique modeste.
Mais de nombreux résolveurs humains déclarent que le travail est épuisant mentalement et nuit à leur estime de soi. "Je me sens comme un esclave", déclare l'un de ces employés CAPTCHA. dit Wired. Bien qu’ils consentent au travail, la dynamique du pouvoir et les positions de négociation des syndicats à faible revenu ne leur offrent que peu d’alternatives.
Avec la résolution de CAPTCHA disponible à moindre coût en ligne, le test permettant de distinguer les humains des robots perd une grande partie de son sens. Les entreprises qui contournent les CAPTCHA en exploitant des travailleurs étrangers faiblement rémunérés enfreignent-elles les conditions de service ? L'éthique reste discutable.
Graphique montrant la répartition mondiale des services de résolution de CAPTCHA. Source : Rapport Intensity Labs 2020
État actuel de la technologie de résolution de CAPTCHA
Grâce aux progrès de l'apprentissage automatique, les robots d'aujourd'hui sont plus capables que jamais de résoudre automatiquement des CAPTCHA difficiles – aucun travailleur étranger exploité n'est requis. Examinons quelques-unes des principales approches utilisées :
Vision par ordinateur + ML : Les réseaux de neurones peuvent désormais résoudre la plupart des CAPTCHA de texte et d’images de base avec une précision de plus de 90 %. Les ensembles de données et modèles de formation open source sont largement disponibles. Certains services comme Anti-Captcha combinent la vision par ordinateur avec un peu de contrôle qualité humain.
Automatisation du navigateur : Des outils comme Puppeteer et Playwright permettent de contrôler de vrais navigateurs par programmation. En surveillant le DOM et en simulant les actions des utilisateurs, même les reCAPTCHA comportementaux avancés peuvent être résolus automatiquement. Le cyclisme IP masque la source du trafic.
Bourrage CAPTCHA : Lorsque la validation est faible, le simple fait de soumettre des CAPTCHA résolus connus sans examiner le défi fonctionne souvent. Réessayer avec des mots du dictionnaire est également efficace.
Prétraitement des images : La distorsion peut être réduite grâce à des transformations telles que le redressement. Les modèles de segmentation peuvent ensuite diviser les images CAPTCHA de texte en caractères individuels pour une OCR plus facile.
Approches hybrides humaines : Certains outils utilisent la vision par ordinateur automatisée pour la résolution initiale des CAPTCHA, mais la contribution humaine pour les cas difficiles. Cela optimise une grande précision avec des ralentissements minimes.
Tant que les incitations existeront, la bataille autour des capacités de conception et de résolution de CAPTCHA se poursuivra. Mais la balance a clairement penché en faveur des robots.
Les CAPTCHA offrent une expérience utilisateur épouvantable
L’ironie des CAPTCHA est que, pour bloquer les robots ennuyeux, ils finissent par ennuyer bien plus les utilisateurs humains légitimes. Certains des problèmes UX majeurs avec les CAPTCHA :
La résolution des CAPTCHA interrompt les utilisateurs, interrompant leur flux et leur concentration. Même les CAPTCHA simples ajoutent de la friction et de l’ennui.
Les CAPTCHA d'images et de puzzles complexes déroutent souvent les utilisateurs, nécessitant de multiples tentatives pour identifier des formes floues ou essayer de deviner la logique déroutante.
Les CAPTCHA ralentissent considérablement les temps de chargement des pages. Certaines études ont révélé que les CAPTCHA ajoutaient plus de 500 millisecondes de délai avant même que les utilisateurs ne les résolvent.
Les textes visuellement obscurcis et les images ambiguës pénalisent les utilisateurs malvoyants ou ayant des difficultés d'apprentissage. Les CAPTCHA audio sont tout aussi difficiles à utiliser pour les utilisateurs malentendants.
Les CAPTCHA discriminent les utilisateurs handicapés comme la cécité, la surdité et les déficiences motrices qui dépendent d'appareils et accessoires fonctionnels.
Les CAPTCHA non occidentaux contenant des lettres cyrilliques, des caractères asiatiques, etc. désavantagent les utilisateurs d'ESL et ceux qui ne connaissent pas d'autres langues.
Dans l'ensemble, environ 5 à 10 % des utilisateurs ne peuvent pas résoudre les CAPTCHA de manière fiable sans assistance. Les groupes de personnes âgées, handicapées et analphabètes en matière numérique sont les plus mal lotis.
La frustration face aux CAPTCHA difficiles à résoudre mène directement à l’abandon. Une étude a révélé qu'un CAPTCHA difficile pouvait entraîner plus de 12 % d'abandon de panier supplémentaire sur les bons de commande du commerce électronique. Aucune entreprise ne veut perdre les ventes des acheteurs confrontés à un défi robot déroutant juste avant de passer à la caisse.
Mème montrant un CAPTCHA difficile demandant "Es-tu sérieusement un être humain ?"
Extraction de crypto-monnaie et autres alternatives créatives au CAPTCHA
Compte tenu des inconvénients des CAPTCHA pour les utilisateurs et de leur efficacité décroissante face aux solveurs d’IA, de nombreux sites explorent des alternatives aux défis visuels ennuyeux. Certaines des options les plus créatives incluent :
Preuve de travail : Nécessite un effort de calcul pour vérifier l’humanité, comme l’exploitation minière de Bitcoin ou la recherche de collisions de hachage. N’ajoute aucune charge visible à l’utilisateur.
Suivi des mouvements de la souris : Analysez les gestes, les vitesses et les traces du curseur de la souris pour détecter les robots en fonction de schémas de mouvement non humains.
Vérification de l'appareil : Vérifiez les empreintes digitales matérielles et les attributs des téléphones/ordinateurs plutôt que d’interrompre les utilisateurs. Permet un filtrage transparent des robots.
Vérification par e-mail/SMS : Aucun défi visuel à résoudre. Les utilisateurs reçoivent simplement un code à usage unique par e-mail ou par SMS et le saisissent. Dissuasion très efficace pour la plupart des robots.
Honeypots et CAPTCHA invisibles : Cachez les pièges et les tests cachés conçus pour être résolus uniquement par des robots. Aucun impact sur les visiteurs humains légitimes.
Authentification adaptative intelligente : Appliquez des couches telles que la vérification de l'appareil, les cookies ou la preuve de travail de manière sélective pour le trafic à haut risque. Minimise les perturbations.
Analyse comportementale : Détectez les signaux comportementaux non humains tels que les séquences de visites de pages, les modèles de clics et les vitesses de saisie des formulaires. Surveillance passive sans tests visibles.
De nombreuses plateformes comme Cloudflare, Google, Microsoft et Twilio proposent des services de CAPTCHA invisible et de gestion adaptative des robots. Lorsqu’ils sont bien faits, ils offrent une protection robuste sans dégrader l’expérience utilisateur.
« Je pense que l'avenir est dans l'analyse passive plutôt que dans la contestation active », a déclaré le Dr Jonathan Frankle, ingénieur logiciel chez Fastly, s'exprimant sur les CAPTCHA lors du Edge Computing Summit 2024. "Moins nous interrompons les utilisateurs, mieux c'est."
Diagramme contrastant les CAPTCHA actifs avec les techniques de détection de robots passives. Source : Sécurité des formes
Le sombre avenir des CAPTCHA
Après plus de 20 ans, la fin semble enfin approcher pour les CAPTCHA. Leur désagrément et leur inaccessibilité pour les utilisateurs humains, combinés aux capacités avancées de résolution de l’IA, signifient qu’ils ont presque épuisé leur utilité.
Il existe désormais de nombreux exemples prouvant que la prévention des robots est réalisable sans défis ni impacts visibles sur l’expérience utilisateur. Et les grandes opérations de résolution de CAPTCHA qui s’appuient sur une main-d’œuvre bon marché dans les pays en développement sont confrontées à un avenir incertain car la technologie rend superflus leurs solveurs humains.
Même s’il est peu probable que les CAPTCHA disparaissent complètement, l’écriture est sur le mur. Les principales plates-formes comme Cloudflare et Google détournent déjà les utilisateurs de leur dépendance. Bientôt, ils seront relégués au rang de technologies héritées uniquement visibles sur des sites obsolètes.
"Je pense que les CAPTCHA auront disparu d'ici 3 à 5 ans", a prédit Akshaya Subramanian, PDG de Passage AI, s'exprimant lors de la conférence Omdia Universe 2021 à Londres. "Cela n'a tout simplement aucun sens de continuer à punir les vrais utilisateurs."
Le jeu du chat et de la souris entre les créateurs de robots et les bloqueurs de robots continuera cependant éternellement. À mesure que les systèmes de sécurité de l’IA deviennent plus sophistiqués, les attaques contre eux le seront également. Mais en employant une défense à plusieurs niveaux et en se concentrant sur l’expérience utilisateur, les organisations peuvent garder une longueur d’avance sur les robots sans que les utilisateurs ne soient confrontés à des défis actifs. Moins nous introduisons de frictions dans le processus, mieux ce sera pour tout le monde.
