Est-ce que vous reconnaissez ces images ?

Un des tous premiers CAPTCHA, seulement faire des mathématiques ! Le défis est écrit dans une image.

Le texte déformé, si bien déformé que parfois on ne pouvait même pas le lire.

Ensuite, le défi des feux de circulation. De multiples versions existent avec des objets différents: voitures, vélos, … mais tous se rapportant toujours à la route et la signalisation routière !

Le célèbre défi que nous devons résoudre avant d’accéder à une ressource que nous aimerions consulter s’appelle CAPTCHA, qui signifie « Completely Automated Public Turing test to tell Computers and Humans Apart » ce qui donne en français: « Test de Turing public entièrement automatique pour différencier les ordinateurs des humains« . Il a été développé pour la première fois en 2000 par Luis von Ahn, Manuel Blum, Nicholas Hopper et John Langford à l’Université Carnegie Mellon. Cette technologie a été créée pour empêcher les bots automatisés de abuser des services en ligne.

Et vous savez quoi, leur temps est compté !

Qu’est-ce qui ne va pas avec CAPTCHA ?

Les CAPTCHA, conçus pour protéger les sites web contre les bots, sont devenus de plus en plus complexes et frustrent les utilisateurs humains. Paradoxalement, les bots (au sens web, c’est-à-dire les scripts automatiques explorant des sites web entiers), grâce aux progrès de l’IA, peuvent maintenant résoudre ces énigmes en quelques millisecondes.

Les CAPTCHA traditionnels, tels que la reconnaissance de texte déformé, sont facilement contournés par les systèmes d’IA modernes. Les alternatives, comme les puzzles coulissants ou la biométrie, posent également des défis en termes de vie privée et d’accessibilité. Ils demandaient autrefois une question simple comme « copiez le texte », mais ont maintenant évolué pour exiger que les utilisateurs résolvent des questions complexes. Une tâche aussi simple que se connecter à un compte de médias sociaux ou essayer de payer des factures d’électricité est devenue un casse-tête.

Les CAPTCHA ont évolué au fil des ans pour s’adapter aux menaces croissantes en ligne et garantir l’intégrité des sites web. Les développeurs cherchent des solutions pour distinguer les bons bots des mauvais bots, mais la tâche devient de plus en plus complexe à mesure que l’IA progresse.

En effet, après avoir résolu un CAPTCHA, les données de nos efforts pour étiqueter ces grilles floues de feux de signalisation, de texte ou d’autobus sont utilisées pour former des machines, qui s’améliorent ensuite en contournant les CAPTCHA et en convainquant les systèmes qu’elles sont humaines. De plus, tous ces défis présentant une grille d’éléments à choisir sont toujours basés sur des illustrations de situations prisent sur la voie publique. En fait, ce type de défi conçu par Google sert aussi à entrainer son IA qu’ils utilisent dans leurs voitures autonomes ! Vous avez compris pourquoi il faut toujours reconnaître des voitures ou des motos, et jamais des chats ou des chiens.

Les systèmes d’IA d’aujourd’hui peuvent résoudre les défis CAPTCHA. Ils peuvent « lire » du texte déformé, de sorte que les lettres ondulées ou compressées des tests CAPTCHA originaux leur sont faciles à lire. Grâce au traitement du langage naturel et à l’apprentissage automatique, l’IA peut décoder les mots les plus confus.

De nos jours, de nombreux bots sont capables d’attaquer les plateformes de médias sociaux, les sites de commerce électronique et les forums en ligne. Les faux comptes diffusent des informations erronées, publient du spam ou achètent des articles en quantité limitée lors des soldes. Dans de nombreux cas, le CAPTCHA n’est plus capable d’arrêter ces abus.

Et ensuite ?

Les développeurs de CAPTCHA ont donc été contraints de les rendre plus complexes pour les rendre imperméables à l’IA. Cela dit, même les développeurs de CAPTCHA ne croient plus vraiment en l’avenir de cette technologie. De nouvelles méthodes de vérification sont constamment introduites. Certains systèmes, dont le ReCaptcha v3 de Google (introduit en 2018), ne vous demandent plus de résoudre des énigmes. Au lieu de cela, ils observent comment vous interagissez avec un site web. Cette nouvelle version du célèbre reCAPTCHA devient transparente pour les utilisateurs, c’est juste un script analysant votre parcours sur le site, sans vous interrompre pour vous poser un nouveau défi.

La version reCAPTCHA v2, qui demande à l’utilisateur de simplement cocher une case, est toujours largement utilisée. Des implémentations similaires existent où vous n’avez même plus besoin de cliquer ou d’appuyer sur un bouton.

Pas de défi, juste cliquez, attendez entre 1 et 3 secondes, et vous voilà!

Les entreprises web devront donc commencer à distinguer entre ces bons bots et ces mauvais bots. Ce domaine requiert encore beaucoup d’attention, mais des certificats d’authentification numérique sont proposés comme solution possible.

Aujourd’hui, avec l’introduction de son reCAPTCHA v3, Google ne demande même plus à l’utilisateur de faire une interaction quelconque. Basé sur les cookies et JavaScript, le système évalue la probabilité que l’utilisateur soit humain ou un robot.

Vous êtes au courant de sa présence lorsque vous voyez cette image, généralement dans le coin inférieur droit d’une page web:

En résumé

le CAPTCHA n’est plus l’outil simple et fiable qu’il était autrefois ; il s’avère de plus en plus inefficace pour distinguer les humains des robots. L’IA l’a rendu obsolète et il est même devenu ennuyeux. Il doit maintenant être réinventé. Probablement que le CAPTCHA du futur, pour protéger votre site contre les mauvaises IA, sera bâti sur une bonne IA… sachant que bon et mauvais pourraient être le même outil utilisé par différentes personnes, avec des objectifs différents!