Virez-moi ces CAPTCHA !

15 novembre 2010,
par Romy Têtue

Mots-clefs associés à cet article :

Inconvénient majeur : le captcha constitue un frein plus important pour les humains que pour les robots. Comment faire mieux ?

Qu’est-ce qu’un CAPTCHA ?

Un CAPTCHA est un test qui sert à différencier un utilisateur humain d’un ordinateur. Sur Internet les captchas sont utilisés dans les formulaires pour éviter les soumissions automatisées et intensives réalisées par des robots malveillants.

Ils se présentent généralement sous la forme d’un hiéroglyphe tordu que seul un humain peut déchiffrer. Très souvent ce sont des chiffres et des lettres déformés à reconnaître, parfois animés, parfois avec une alternative audio. C’est parfois une question de calcul ou de langage. Ou un jeu de reconnaissance d’images. Voir ce comparatif des differents captchas.

Parmi celleux qui ont choisi d’utiliser un captcha, personne dans mon entourage, notamment professionnel, n’a été capable de justifier ce choix mieux que par : Bin, c’est un formulaire, alors il faut un captcha ! S’il semble être une réponse techniquement acceptable, au problème bien réel du spam, le captcha constitue une gêne à l’usage, beaucoup moins acceptable.

Pourquoi discriminer vos utilisateurs ?

Pour commencer, lorsqu’il est visuel, le captcha empêche tous les aveugles et malvoyants de participer ainsi que celleux qui surfent autrement qu’en navigateur graphique. Le message que vous faites passer quand vous affichez un tel captcha sur votre site, c’est : « je me contrefiche des bigleux ». En des termes moins vifs, le captcha est discriminant.

Proposer une alternative audio, comme recommandé par les WCAG, n’est pas toujours suffisant, ni simple à mettre en œuvre. Il est très difficile de les rendre accessibles, comme le souligne le W3C : L’inaccessibilité des « CAPTCHA ».

Mais ce n’est pas tout : ça enquiquine aussi les autres. Qui ? Tout le monde. 8 tentatives avant de pouvoir poster avec ces captchas de merde râle cet utilisateur.

Champollion déchiffrant un CAPTCHA

Dans tout les cas, le captcha réclame un niveau cognitif supérieur, puisque le but est d’être plus malin qu’un robot, lesquels sont de plus en plus malins. Pourquoi serait-ce à vos utilisateurs de faire cet effort de rivaliser avec les robots ? Certains refusent de fournir cet effort et boudent les formulaires qui en sont pourvu. Tout à votre satisfaction d’avoir endigué le spam, vous ne vous en rendez peut-être pas compte, mais vous avez aussi limité les contributions.

Pire, c’est inefficace ! Ce système de protection est de moins en moins efficace et les robots parviennent à passer le test de plus en plus facilement. Par exemple, les pages d’inscriptions proposés par Yahoo ou Google sont franchies par les robots plus d’une fois sur cinq. La solution courante à cette évolution des robots est une augmentation de la complexité des captchas, ce qui rend cette étape d’autant plus difficile pour les utilisateurs.

Pour résumer, le captcha n’est pas un anti-spam, mais un anti-visiteur. Dans les faits, le captcha constitue un frein plus important pour les humains que pour les robots, ce qui a pour conséquence de limiter les contributions. Est-ce vraiment le but recherché ?

Quelle(s) alternative(s) aux captchas ?

Un champ vide pour piéger les bots

Une méthode mille fois plus simple que le captcha, tellement simple que plus personne ne semble y penser, consiste à ajouter un champ invisible (masqué d’un simple display:none) qui doit rester vide pour que le formulaire soit accepté. On appelle ça un « honeypot », ou pot de miel, destiné à engluer les bots.

Double avantage, sans effort et ni douleur : les robots spammeurs qui remplissent machinalement tous les champs sont filtrés, sans gêner les humains qui ne voient même pas ce champ. Pour les internautes qui verraient quand même ce champ, un label explicite du type « Veuillez laisser ce champ vide » leur indique de l’ignorer. Par exemple :


Exemple de formulaire de commentaire avec honeypot visible

C’est quand même bien moins embêtant que ces formulaires qui nous demandent de faire du calcul mental ! C’est toujours mieux que de demander de répondre à une question, même simple. Enfin, l’internaute qui ne parle pas la langue et ne comprend pas le label, laisse spontanément vide, ça tombe bien.

Bien sûr, le honeypot seul ne suffit pas. Il faut le compléter par d’autres parades.

Une étape de confirmation

Passer par une étape intermédiaire de confirmation, par exemple de prévisualisation, ne suffit pas à les arrêter mais complique le travail des robots spammeurs, sans gêner l’humain. Avantage subsidiaire : les utilisateurs se relisent, ça limite les erreurs de frappe, mais aussi les lapsus et les quiproquos, ce qui est plus sympa et améliore la qualité des échanges.

Si ça ne suffit pas...

Un anti-spam !

Quand on veut se protéger du spam, on utilise, devinez quoi... un « anti-spam » ! Un tel programme intervient lors de la soumission, pour en analyser le contenu et rejeter les contributions inappropriées. Même si le mieux est de confectionner un anti-spam adapté à votre besoin, il en existe de très bons. Renseignez-vous.

Ne demandez plus aux internautes de faire votre travail !

C’est aux responsables du site d’assurer la qualité du service. C’est à eux d’endiguer les spams, et pas à leurs internautes ni d’en faire l’effort, ni d’en pâtir. Il n’y a aucune bonne raison d’imposer ce travail aux internautes contributeurs. Faites votre boulot !

Vos commentaires

  • Le 2 février 2013 à 13:05, par Romy Têtue En réponse à : Virez-moi ces « CAPTCHA » !

    Un captcha doit suivre les mêmes règles que le reste du site pour être accessible : accessibilité au clavier, alternatives pour les contenus non textuels, utilisation correcte des couleurs... Dans tous les cas de figure suivants un captcha ne sera pas considéré accessible

    • s’il oblige à décrypter du texte dans une image
    • s’il requiert de pouvoir utiliser la souris pour cliquer sur quelque chose
    • si l’extrait sonore est incompréhensible
    • s’il est nécessaire de distinguer les couleurs pour le réussir

    Ce ne sont que quelques exemples parmi d’autres. L’imagination n’a malheureusement pas de limites quand il s’agit d’inventer des captchas inacessibles.

    Quelques solutions alternatives au captcha visuel : honeypot, temporisation, Akismet, vérifivation par courriel, par téléphone, etc.
    Lire la suite : Éviter le spam sans captcha, AnySurfer.

  • Le 19 août 2013 à 10:53, par Romy Têtue En réponse à : Virez-moi ces CAPTCHA !

    Un aveugle australien, Wayne Hawkins, a lancé une pétition pour tuer les captchas, accompagnée d’une lettre ouverte destinée aux PDG de Google, Microsoft, Yahoo !, eBay, Twitter, Yelp ainsi que Facebook, dans laquelle il demande que des « alternatives accessibles » soient trouvées.

    KiLL caPtChA

  • Le 17 février 2014 à 23:29, par Romy Têtue En réponse à : Virez-moi ces CAPTCHA !

    le CAPTCHA pose la question du travail à un autre degré, plus étonnant encore. Quel dommage, se sont dit un jour les chercheurs de l’Université Carnegie-Mellon, quel dommage que tous les jours, des centaines de millions d’internautes transcrivent des signes déformés, et que cela ne serve à rien ? Et ils ont inventé un système qui s’appelle Re-CAPTCHA et qui consiste à utiliser ces millions de transcriptions effectuées par les internautes pour améliorer les logiciels de numérisation des livres. […] Google, qui avec son projet Google Books numérise les livres du monde entier par brassée, s’est empressé d’acheter le système Re-CAPTCHA à l’Université Carnegie-Mellon pour améliorer ses logiciels de reconnaissance textuel. Ce qui signifie une chose toute simple : quand vous transcrivez un CAPTCHA, il y a des chances pour que vous participiez à l’amélioration des logiciels de Google, il y a des chances, donc, que vous travailliez pour Google. […] Sur Internet, on passe son temps à travailler sans même le savoir : dès qu’on déchiffre un CAPTCHA, dès qu’on écrit quelque chose sur FB, qu’on fait une recherche sur Google, on produit des données qui seront valorisées par ces entreprises, on fournit donc un travail qui échappe à tout statut et à toute législation.

    À ré-écouter sur France Culture : Captcha ou l’art de faire travailler sans rémunérer, par Xavier de la Porte, 17/02/2014

  • Le 3 août à 13:02, par Christophe En réponse à : Virez-moi ces CAPTCHA !

    Exemple par la pratique, je n’arrive pas à lancer manuellement la réinstallation d’un vps chez amen.fr grace au recaptcha de google.
    D’après eux mon ordinateur (ordinateur d’entreprise sans aucun problème de sécurité) ferait du spam parce-que j’ai utilisé le recaptcha.
    Conclusion, là on à affaire à une question d’argent, j’ai payé et google bloque le fonctionnement convenable de mon fournisseur, évidement ce n’est pas google qui vas recevoir un recommandé mais mon fournisseur qui a fait un choix technologique ne permettant pas d’exécuter pleinement sa mission rémunérée.
    En clair, freiner les utilisateurs peut aboutir à de réel problème dans votre entreprise, n’oubliez pas que j’irais ouvrir les nouveaux serveurs ailleurs... à cause d’un captcha.

Répondre à cet article

Qui êtes-vous ?

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici
  • Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Suivre les commentaires : RSS 2.0 | Atom