Service privé et distinct du Registre National du Commerce et des sociétés tenues par les greffiers des tribunaux de commerce. Informations fournies par le Groupement d’intérêt économique des greffiers des tribunaux de commerce (G.I.E. INFOGREFFE)

CAPTCHA

Mise à jour 06/10/2025 Web

CAPTCHA : définition, origine et usages en contexte web

Définition synthétique

Un CAPTCHA est un dispositif d'authentification automatisé utilisé sur des interfaces web pour distinguer un humain d'un robot (programme automatisé). Conçu comme un test de type challenge-response, il soumet l'utilisateur à une épreuve - visuelle, auditive ou comportementale - dont la réussite atteste d'une interaction humaine. L'acronyme signifie en anglais "Completely Automated Public Turing test to tell Computers and Humans Apart" et renvoie directement au concept du test de Turing appliqué à la sécurité des services en ligne.

Historique et contexte d'apparition

Les CAPTCHA sont nés à la fin des années 1990 et au début des années 2000 pour répondre à une problématique précise : l'automatisation massive d'actions malveillantes ou indésirables sur Internet (spam, création de comptes factices, scraping, votes automatisés). Les premières formes consistaient en images de caractères déformés difficiles à extraire par OCR. Face à l'évolution des techniques de reconnaissance, les méthodes ont ensuite intégré des tâches visuelles, logiques ou comportementales et se sont professionnalisées avec l'apparition de solutions telles que reCAPTCHA, qui utilisent des algorithmes d'analyse comportementale et des systèmes de notation de risque.

Typologie des CAPTCHA et exemples concrets

On distingue plusieurs familles de CAPTCHA, chacune adaptée à des menaces et à des contraintes d'accessibilité différentes :

  • CAPTCHA visuel basé sur du texte : image contenant des caractères déformés à recopier. Exemple pratique : formulaire d'inscription de forum ancien où l'utilisateur saisit les caractères affichés.
  • CAPTCHA basé sur des images : mosaïque d'images où l'utilisateur doit sélectionner celles qui correspondent à un critère (ex. "cliquez sur toutes les images contenant un panneau de signalisation"). Utilisé fréquemment pour filtrer les bots commerciaux.
  • CAPTCHA logique ou mathématique : question simple à résoudre (somme, reconnaissance d'objets). Exemple : formulaire de contact demandant "Combien y a-t-il de pommes ?" après affichage d'icônes.
  • CAPTCHA audio : séquence vocale hachée à retranscrire, proposée comme alternative pour les utilisateurs malvoyants.
  • CAPTCHA comportemental : mesure passive de signaux (mouvements de souris, temps passé, historique de navigation) sans interaction explicite. Exemple : reCAPTCHA v3 attribuant un score de risque à chaque requête.
  • CAPTCHA invisible : scripts côté client qui détectent patterns d'automatisation et bloquent sans challenge visible, utile pour fluidifier l'expérience utilisateur.

Fonctionnement technique et principes

Le principe technique repose sur l'exploitation d'écarts de performance entre algorithmes et humains pour certaines tâches perceptives ou contextuelles. Un CAPTCHA valide doit être :

  • difficilement résoluble de manière fiable par des bots automatisés ;
  • facilement résoluble par la majorité des utilisateurs humains légitimes ;
  • peu intrusif vis-à-vis de l'expérience utilisateur et accessible, dans la mesure du possible.

En pratique, un serveur génère le challenge, le présente au client, puis vérifie la réponse via une logique serveur ou un service tiers. Pour les solutions comportementales, l'évaluation combine des métriques (temps de saisie, pattern de déplacement) et des modèles d'apprentissage pour estimer la probabilité qu'il s'agisse d'un bot.

Cas d'usage et exemples pratiques en entreprise

Les entreprises intègrent des CAPTCHA pour protéger divers points d'entrée :

  • formulaires d'inscription et de connexion (prévention des comptes fictifs) ;
  • pages de paiement et paniers (réduction de la fraude par scripts) ;
  • commentaires et forums (lutte contre le spam) ;
  • API publiques exposées à des abus automatisés (throttling basé sur scores comportementaux).

Exemple concret : une plateforme e-commerce implémente un CAPTCHA comportemental au checkout pour réduire les injections automatisées de codes promotionnels. Si le score indique risque élevé, un challenge visuel est présenté avant la validation finale.

Accessibilité, limites et risques

Les CAPTCHA traditionnels posent des problèmes d'accessibilité pour des utilisateurs malvoyants, dyslexiques ou ayant des déficiences motrices. Les alternatives audio et comportementales améliorent la situation, mais introduisent des risques de faux positifs et d'atteinte à la confidentialité (transmission de données comportementales à des tiers). Par ailleurs, les bots utilisent désormais des techniques d'IA et des fermes humaines pour contourner certains challenges, ce qui nécessite une mise à jour continue des solutions et une stratégie multi-couche.

Bonnes pratiques pour l'intégration

Pour une intégration efficace, il est recommandé de :

  • adapter le type de CAPTCHA au public et au niveau de menace (ex. comportemental pour trafic qualifié, image pour formulaires publics) ;
  • proposer une alternative accessible (audio, vérification via email, ou assistance) ;
  • combiner CAPTCHA et autres contrôles (limitation de taux, validation serveur, heuristiques) plutôt que de s'appuyer uniquement sur le CAPTCHA ;
  • surveiller les faux positifs et ajuster les seuils pour limiter les frictions pour les utilisateurs légitimes.

Conclusion

Le CAPTCHA reste un outil fondamental dans l'arsenal de sécurité web pour limiter les actions automatisées malveillantes. Sa conception doit cependant évoluer avec les nouvelles menaces et les impératifs d'accessibilité et de conformité. En pratique, il fonctionne mieux intégré à une stratégie globale de défense, équilibrant protection, expérience utilisateur et respect des données.