Les CAPTCHA assurent une sécurité optimale, mais au prix de votre vie privée.
Fait marquant : les CAPTCHA originaux sont rares aujourd'hui. Ils ont été supplantés par reCAPTCHA, propriété de Google. Conçu pour contrer les spambots, ce système a évolué au point de poser des risques pour la confidentialité des utilisateurs.
Un CAPTCHA (test de Turing public automatisé pour distinguer humains et machines) était idéal pour bloquer les bots sur les formulaires. Les versions classiques déformaient du texte, illisible pour les logiciels malveillants mais décodable par les humains.
Les spammeurs s'adaptant, les CAPTCHA ont évolué en reCAPTCHA, développé par les mêmes créateurs. Google l'a acquis en 2009, suscitant des interrogations sur ses motivations.
reCAPTCHA a brillamment contribué à l'IA : au lieu de lettres aléatoires, il utilisait des mots indéchiffrables par les robots de Google, aidant à numériser des millions de livres pour Google Books.
Les algorithmes surpassant les humains, Google a lancé NoCAPTCHA reCAPTCHA.
Avez-vous cliqué sur « Je ne suis pas un robot » et été validé instantanément ? C'est reCAPTCHA v2 ou supérieur.
La v2 analyse le comportement sur site pour détecter humains ou bots, n'affichant un CAPTCHA qu'en cas de suspicion.
reCAPTCHA v3 supprime la case à cocher, optimisant l'expérience utilisateur en évaluant en profondeur les interactions en ligne.
Cela complique la vie des « fermiers CAPTCHA » (humains payés pour les résoudre), nécessitant un profil comportemental réaliste.
4,5 millions de sites utilisent reCAPTCHA, dont un quart des 10 000 premiers, et plus de 650 000 ont adopté la v3.
Des versions obsolètes persistent : v1 protège moins mais respecte mieux la vie privée.
Comment v3 fonctionne-t-il et pourquoi est-ce problématique ?
Il vérifie les cookies Google : un compte existant suggère un humain authentique.
Les sites intègrent reCAPTCHA partout pour un scoring précis (1.0 = humain sûr ; 0.0 = bot probable). Faible risque = pas de challenge.
Les VPN sont pénalisés (score élevé), ironique car ils boostent la confidentialité. Google dépend des données utilisateurs pour ses revenus.
reCAPTCHA collecte IP, plugins navigateur, appareil...
Google assure : « Les données améliorent reCAPTCHA et la sécurité, sans pubs personnalisées. »
« Les informations collectées seront utilisées pour améliorer reCAPTCHA et à des fins de sécurité générale. Elles ne seront pas utilisées à des fins de publicité personnalisée par Google. »
Pas spécifique à v3 dans les CGU, on doit faire confiance. Les plugins sociaux traquent aussi.
Même v3 échoue : IA à 90 % de succès. Pression accrue sur la privacy.
La diversité humaine complique : images (panneaux) vs expressions faciales (inefficace).
Jeux (puzzles rotatifs) ou « Turing par échec » (Amazon, 2017 : défis où humains échouent, bots réussissent).
Luis von Ahn (co-créateur) justifie l'acquisition. v3 favorise les utilisateurs Google. Stratégie de domination ?
Optez pour un navigateur privacy-friendly, mais Chrome reste leader en sécurité.
