Déchiffrer un CAPTCHA afin de créer un compte, pouvoir s'inscrire ou se connecter à un service en ligne peut être une tâche franchement pénible. Ce processus vise à faire la différence entre un utilisateur humain et un robot (un agent logiciel).
Ce robot est par exemple susceptible d'automatiser la création d'une base de données de comptes qui pourront être massivement utilisés pour du spam ou d'autres activités. Pour faire face à cette menace et éviter que des sites ne soient abusés, l'internaute doit prouver qu'il est du genre humain en identifiant les caractères déformés représentés sur une image. A priori, seul un humain est apte à le faire.
Avec le temps et les progrès technologiques dont ceux liés à la reconnaissance optique de caractères (voire l'intelligence artificielle), la pertinence du CAPTCHA s'est altérée… et par voie de conséquence il est aussi devenu de plus en plus complexe pour un humain de le déchiffrer.
Google met en œuvre les tests CAPTCHA avec son système reCAPTCHA qui a subi diverses améliorations pour conserver de la pertinence. Cette fois-ci avec l'idée de simplifier la sacro-sainte expérience utilisateur, car il est bien connu que l'internaute ne supporte pas la moindre frustration, Google introduit une nouvelle API pour les sites et l'approche No CAPTCHA reCAPTCHA. Le pari est déjà perdu pour la simplicité de prononciation.
Avec No CAPTCHA reCAPTCHA, un utilisateur pourra prouver qu'il est humain en un clic en cochant une case : " I'm not a robot ". Pas de magie mais de l'algorithmie derrière cette affirmation " Je ne suis pas un robot " même si la recette employée demeure assez mystérieuse. La dévoiler complètement serait une aubaine pour les cybercriminels qui adapteraient alors leurs scripts en fonction.
Ce que l'on sait est que le procédé exploite des indices laissés involontairement par l'utilisateur dont l'évaluation est confiée à un moteur d'analyse des risques. Les petits mouvements opérés avec le pointeur de la souris pour survoler des champs de saisie et se rendre sur la case à cocher sont parmi ces indices. Leur analyse aiderait à trahir le comportement d'un bot. D'autres indices sont l'adresse IP, le temps passé sur la page ainsi que les cookies du navigateur.
Pour anticiper les critiques d'une nouvelle forme de pistage de l'utilisateur, Google indique notamment que l'analyse des mouvements de la souris se cantonne au widget de reCAPTCHA et ne déborde pas sur la page entière.
Mais le système n'est pas infaillible et un doute peut subsister. D'après des tests réalisés la semaine dernière avec le site Humble Bundle, No CAPTCHA reCAPTCHA a fonctionné dans 80 % des cas (seule la case à cocher a été nécessaire).
Si doute il y a, un CAPTCHA à l'ancienne sera affiché afin de recueillir des indices supplémentaires. Sur smartphone et tablette, l'utilisateur se voit proposer une série d'images et doit sélectionner celles qui correspondent à une demande. Un exemple donné est celui d'identifier toutes les photos qui correspondent à l'image d'un chat.
La nouvelle API est déjà utilisé sur quelques sites dont WordPress, Snapchat et Humble Bundle. À noter qu'il n'y a pas d'obligation et l'ancienne API demeure active.
