Ce terme barbare peu connu du grand public, nous est pourtant très familier. Nous avons déjà tous passé son test (et quel test !) en voulant valider une action : la création de compte e-mail, l’envoi d’un formulaire, le changement d’un mot de passe… Un CAPTCHA de sécurité est donc une suite de signes déformés à recopier, dans le but de prouver vous n’êtes pas une machine.

Au départ, utilisés pour contrer les robots qui votaient à des sondages en ligne de manière automatique et intempestive, les CAPTCHA sont aujourd’hui un moyen de cyber sécurité permettant d’éviter la création de centaines ou de milliers de comptes e-mail, lutter contre l’envoi abusif de spam, limiter les tentatives d’accès à un compte et parer toute tentative de cassage de mot de passe.

Le CAPTCHA, un robot anti-robot

Le terme CAPTCHA signifie « Completely Automated Public Turing test to tell Computers and Humans Apart » (en français : Test de Turing complétement automatisé pour différencier les ordinateurs des humains) et comme son acronyme l’indique, est basé sur le test de Turing.

A la base, le test de Turing (crée par Alan Turing, brillant mathématicien et cryptologue britannique né en 1912 et décédé en 1954) est un test d’intelligence basé sur la faculté d’une machine à imiter la conversation humaine. Si la personne de l’autre côté de l’écran ne sait pas si elle discute avec un ordinateur ou un humain, alors le test est réussi.

Dans le cas du CAPTCHA, il s’agit donc d’un test de Turing inversé, c’est la machine qui doit différencier un humain d’un robot pour que le test soit réussi.

Comment choisir son CAPTCHA de cyber sécurité ?

Du fait qu’un CAPTCHA simple peut être contourné par des systèmes de déchiffrement de CAPTCHA (basé sur des outils de reconnaissance optique de caractères), de nouveaux types de CAPTCHA ont été créés et peuvent avoir plusieurs formes :

Le CATPCHA classique

Pour ce CATPCHA crée par reCATPCHA, il suffit de recopier les deux mots présents sur les images séparés par un espace.

Ce qu’il faut savoir, c’est que le deuxième mot sera reconnu si plusieurs utilisateurs l’ont vérifié en obtenant le même résultat ; ce qui veut dire que l’on est pas obligé de trouver les deux mots pour valider l’action. Cela peut être utile dans le cas où le mot ne peut pas être écrit par un humain.

Euh… où se trouve la touche triangle ??

Le CAPTCHA par identification d’image

Pour passer ce type de test, il suffit simplement de cliquer sur les images correspondantes à un mot ou une image donnée.

« I’m not a robot »

Ce nouveau type de CAPTCHA conçu par Google, permet de déterminer que nous sommes des humains en cliquant sur une case à cocher. Cependant, si le système ne parvient pas à prouver que vous êtes bien humain (suis-je un cyborg sans le savoir ?!), alors un CAPTCHA classique est lancé en complément de celui-ci.

Le fonctionnement précis de ce CAPTCHA est gardé secret, d’après Google pour éviter tout détournements.

Sans tous les citer, il existe de nombreux types de CAPTCHA tel que :

• Les CAPTCHA audio (utile sauf quand on est sourd…)
• Les CAPTCHA par résolution d’un calcul
• Etc.

En cyber sécurité les CAPTCHA sont devenus indispensables pour nous protéger contre le spamming, et ainsi garder nos sites web, boîtes de réception, serveurs… à l’abri des virus et scripts malveillants.

Certes, ils compliquent certaines actions pour les utilisateurs bienveillants (cette frustration quand on n’arrive pas à écrire ces fameux signes déformés…), telles que la finalisation d’achats ou lors de la création d’un compte… Mais il en va de notre sécurité et de celle des autres internautes.

Bien sûr, le CAPTCHA à lui tout seul ne résout pas tous les problèmes de spamming, il est cependant indispensable et à compléter par d’autres mesures, comme limiter le nombre d’essai de connexion à des ressources protégées…