Google se débarrasse des CAPTCHA visibles en introduisant un mécanisme beaucoup plus discret, loin des yeux de l’internaute. Place donc à « l’Invisible reCAPTCHA », normalement assez malin pour ne plus avoir besoin de réclamer une participation active.
Le CAPTCHA, pour « Completely Automated Public Turing test to tell Computers and Humans Apart », est un mécanisme de sécurité qui existe depuis de nombreuses années. Il fait accomplir à l’internaute certains calculs afin de prouver qu’il n’est pas un robot. Objectif : empêcher les bots de s’inscrire ou d’utiliser massivement des fonctionnalités qui pourraient permettre, par exemple, de générer du spam.
Avec les années, les opérations demandées par les CAPTCHA se sont à la fois diversifiées et simplifiées. Certaines époques ont été complexes, car le principe même du mécanisme est de faire réaliser une opération réclamant de très nombreux calculs pour un bot, mais que la cognition humaine résout rapidement. Le plus classique des CAPTCHA, la reconnaissance d’écriture, devenait parfois si complexe qu’il fallait s’y reprendre à plusieurs reprises.
Plus de textes flous à reconnaître
Google se débarrasse donc de toute cette vieille mécanique. Avec le rachat de reCAPTCHA en 2009, la situation s’était déjà nettement améliorée. La défense ne réclamait plus en effet qu’une case à cocher, le système suivant principalement les mouvements de la souris pour déterminer s’il s’agissait bien d’un humain aux commandes. Désormais, place à l’invisible.
Le principe est le même : prêter attention aux actions de l’utilisateur sur la page pour déterminer s’il est réellement ce qu’il prétend être. Cette reconnaissance est basée sur la résolution précédente de millions de CAPTCHA, l’ensemble puisant dans les calculs réalisés par apprentissage profond dans les serveurs de Google. L’éditeur l’assure d’ailleurs, son système permet de rester toujours à la pointe.
Moins de frictions
Pour l’utilisateur, le changement est évidemment bénéfique. La petite boîte « Je ne suis pas un robot » sera toujours présente, mais elle se cochera toute seule en fonction des actions dans le formulaire. Une inscription plus simple, générant moins de frictions, ce qui participe à une bonne expérience utilisateur, avec un petit bénéfice donc pour le développeur du site.
Google va bien sûr utiliser ce nouveau système sur ses propres services, mais comme pour les versions précédentes de cette défense, les tiers pourront également en profiter. Les intéressés pourront inscrire leur site via un formulaire mis en place pour l’occasion. Notez qu’il laisse encore l’accès à l’ancienne version, pour ceux qui préfèreraient encore la case à cocher.
Commentaires (80)
C’est une bonne nouvelle. 8 fois sur 10, la reconnaissance par images (devanture de magasins, panneaux routiers,…) ne me permet pas de valider leur formulaire. A chaque fois que je clique sur une image, elle disparaît et une autre la remplace, donc ça ne valide jamais, et je reste toujours bloqué sur ce captcha. Vraiment énervant et contreproductif.
je plussoie, j’ai perdu 100x plus de temps sur ces reCAPTCHA “devanture de numéro de montagne de signalisation de fleuve” que sur n’importe quel texte flou ou haché…
" />
je n’ai pas ce problème serais tu un robot sans le savoir , va tu exploser en l’apprenant ? les cylons sont ils parmi nous ?
et le capcha illisible c’est fort aussi
“Je ne suis paaas un robot”
" /> Hou la bonne référence ^^
De toutes façons sous android google n’a pas besoin de captcha : il active silencieusement la caméra en face avant pour voir la gueule du type qui tient le smartphone et il peut rapidement dire si c’est R2D2 ou un humain.
Là où ça devient flippant, c’est quand on commence à se demander sur les masses de données ils se basent pour obtenir le résultat “humain ou non”.
Combien de données personnelles ou presque personnelles sont ingurgitées pour ça ?
Super ! Sur mobile, ces photos de captcha sont inutilisables quand on veut les sélectionner, elles sont méga pixelisées, sortent de l’écran, etc ! Vivement que ça se généralise.
Pourtant… Vous n’entendez pas cette musique ?
apprentissage profond : deep learning, je trouve que la traduction est un peu trop littéral alors que le sens n’est pas tout a fait le meme.J’aurais plutot dit : apprentissage approfondi puisqu’ici c’est l’action d’apprendre qui est profonde, pas l’apprentissage qui est profond comme on dirait d’un puits qu’il est profond.
Vu la musique de nos jours, j’espère qu’ils entendent du Diam’s en boucle, ca éviter la guerre par destruction automatique
" />
Du coup si j’appuie sur TAB pour passer d’une case à une autre pendant que je remplis mon formulaire, je vais être détecté comme robot ? Parce que le learning doit se baser sur les millions d’utilisateurs qui bougent méticuleusement leur souris dans les cases…
Et si dans les formulaires il y avait une case à cocher “Je ne suis pas un humain” peut-être que tous ces bots s’empresserons de le cocher. Si ça se trouve, on s’emmerde à faire du deep learning et autre technique ultra complexe afin de détecter que la personne en face n’est pas un robot, alors que si on prenait le problème à l’envers, ça serait beaucoup plus simple ! 
" />
Encore un service que tu délègue à Google. Y’a t-il des concurrents ?
Pour le fonctionnement, il utilise beaucoup de données :
il en font une empreinte qu’ils comparent et analysent. Un peu comme un fingerprint. Vous pouvez le faire vous même avec des outils comme ça : https://github.com/Valve/fingerprintjs2
Maintenant c’est google, ils sont trop/plus forts
On doit bien être suffisamment nombreux à faire comme ça pour que Google nous ait repérés
dans les murs ?? j’ai pas de voisin pour tant !
De base, je dirai que l’on peut suivre/analyser les mouvements de souris, les frappes au clavier…
Si la souris se déplacement de façon “régulière” (avec des phases d’accélération/ralentissement “naturelles”) ou par accoup (d’un point à un autre de l’écran instantanément)
La fréquence des frappes au clavier, fréquence de frappe ultra-régulière, ou texte saisi instantanément dans chaque champ, remplissage d’un formulaire complet en un temps record..
Bref, globalement analyser les “entrées” réalisées par l’utilisateur.
J’imagine bien sûr que cela va plus loin, mais c’est une base pour commencer. Ensuite, il faut parer une prise en compte de ce mécanisme…
C’est parce qu’il faut cliquer sur les devantures jusqu’à qu’il n’y en ai plus qui apparaisse (en général ça tourne en une dizaine de clics) et une fois qu’il n’y en a plus, le bouton valider fonctionne. C’est la seconde difficulté de reCAPTCHA v2 qui signifie que Google te considère un peu plus comme un bot. Ça se produit en général assez vite sur un navigateur de dev où on passe son temps à effacer ses cookies, cache, (…) sans arrêt.
ça, ça marche pour un robot générique, mais pas avec un robot adapté “spécifiquement” à un site.
Ce qui permet tout de même d’élaguer, c’est mieux que rien de toute façon.
Il me semble que ça existe déjà. Le captcha est présent dans le code source de la page mais est invisible pour l’utilisateur car caché lorsque le navigateur affiche la page. Donc seulement un bot aurait pu compléter le captcha.
oui j’en avais marre des liste de liens vers zalando dans mes commentaires :/
Mais mon site est trop petit et confidentiel pour être la cible de robots spécialisés -_-’
Bravo à Google pour exterminer cette peste des captchas.
Je dois agir comme un robot.
Pas une seule fois le bouton Je ne suis pas un robot à fonctionné pour moi, je dois toujours réaliser les exercices d’entraînement du Deep learning de Google.
Moueehhhh
Venant d’une boite qui passe son temps à envoyer des bots pourris sur les sites des autres, c’est assez malvenu de mettre à disposition un outil qui permet de les bloquer.
Ah pas con ! Effectivement mon paramétrage est proche d’une session privée (pas d’histo, cookies non tiers,…).
" />
C’est la tendance générale : on est suspect dès qu’on essaye de se protéger un peu…
Merci pour l’astuce
Y’a pas moyen, de contourner ce type de captcha en enregistrant puis en rejouant des séquences de mouvements de souris et de clavier “humain”?
Fuck Google, l’entreprise de la CIA, du FBI et du MOSSAD !!!
" />
Comment ça marche sur smartphone/tablette la détection de mouvements de souris ?
Des infos par rapport à la vie privée, comment google va nous surveiller, nous reconnaître, nous ficher… pour son nouveau joujou (liberticide) ?
C’est plus sympa que ça c’est sur.
" />
Je me demande si ce n’est pas déjà un truc employé par les chinois de Ali Express (un bouton-glissière à enclencher avec la souris)?
Ah je découvre que CAPTCHA est un acronyme
" />
Bon, je pense encore à mon laptop qui n’a pas de touchpad fonctionnel. Oui, je navigue au clavier, et oui c’est faisable en général.
Mais les reCaptcha ne passent pas, et ça sera encore pire. Comment je vais faire ?
il y a donc les bons bots et les mauvais bots….
Ceux de Google sont bons et les autres mauvais donc !
Il faut valider toutes les images.
" />
EDIT: Toutes les images qui restent et qui correspondent à ce qui est demandé.
je ne suis pas un zéro
" />
4 + 2 = ?
un coup de calculette et c’est bon
Oui enfin, des bots qui lutent contre les honeypot ca existe déja. Si t’en a qui passent chez toi c’est qu’une question de temps avant d’en choper un. Au final, une solution comme celle de google sera obligatoire.
Pour info sur les bots anti honeypot, ils s’arrangent pour vérifier depuis un autre post que leur message est bien passé, et test les champs de formulaire un a un jusqu’a trouver ceux qui sont faux. Voir dans certain cas, c’est simplement des humain qui vont lister les champs…
Et ce, meme si c’est un petit site, au final, ils s’en foutent…
(oui, je m’en suis mangé par le passé :()
Avec une bonne dose d’aléatoire ca doit passer. Mais au final, ca sera assez long a dev et a tester.
Aucune technique n’est parfaite, le but c’est surtout de ralentir assez les spammer pour que leur taff soit plus assez rentable
Oui je clique je clique je clique… Sauf que c’est sans fin, je ne peux jamais alider le captcha.
Je ne suis pas un numéro !!!
Tout pour éviter ces putains de trucs : La glissière d’Aliexpress m’empêche de me connecter 9 fois sur 10.
À supprimer (doublon)
Je plussoie, ayant récemment fait quelques recherches à ce sujet, les alternatives nécessitent de grosses bibliothèque côté serveur, et/ou bien sont trop simples pour les robots modernes et peu efficaces, et/ou sont relativement complexes à mettre en place. Je rêve d’un framacaptcha :p
Là où c’est retors, c’est que si un robot permet de distinguer un humain d’un robot, il n’y a qu’un petit pas pour que le même robot se fasse passer pour un humain
T’es un robot, c’est tout
" />
Pas de quoi en faire un drame, t’as juste quelques sites relous qui te sont interdits, mais tu peux toujours monter une assoc pour lutter contre la discrimination
Ce que je constate, c’est qu’il y a quand même beaucoup de mange-merdes qui veulent pas trop payer de la pub mais en faire quand même
Tu sous-entends que François Fillon est un robot ?
" />
Capthca-ception ?
(J’ai lu votre commentaire, et j’arrete pas d’y réfléchir… *aspirine needed*)
Ce nouveau système existe t-il pour Drupal et WordPress ? Si ça pouvait soulager le formulaire de contact de certains de mes clients…
C’est bien cela….
Cela me fait penser au mode de pensée si à la mode en ce moment…
Un journaliste nous a affirmé la main sur le cœur que il n’aimait pas Fillon (moi non plus d’ailleurs mais ce n’est pas le problème) et qu’en conséquence quelques entorses avec la séparation des pouvoirs et le droits à la défense n’étaient pas un problème si cela permettait de se débarrasser de lui !
Donc quand on aime Apple ou Google, quelques entorses avec le droit à la concurrence ou encore la protection privée ne sont pas des problèmes si cela permet à votre favori de dominer le monde digital.
C’est Google qui met un contrôle sur ce qui doit ou non venir sur un site…. et nul doute que leurs bots doivent resoudre mystérieusement et facilement tous les captcha….
Et ca c’est un abus !
Tiens pourtant, Google détecte tellement bien les robots que parfois lorsque je passe en navigation privée et que je fais une recherche sur le moteur même, Google doute de mon humanité et sort le formulaire captcha option ophtalmologie. Du coup j’ignore le formulaire, je refais la recherche et ça fonctionne.
Douter de Google est loin d’être un complot…. Smith et autres sont des mégalos au service de la NSA
le déni est une forme de soumission…. un grand classique !
Tu vas d’acheter une souris.
Super :) ,ça tombe a pic pour ce que je veux faire ^^
Ça marche pas leur merde qui me considère comme un robot à chaque commentaires.
" />