Captcha

01 — DéfinitionQu'est-ce qu'un captcha ?

Un captcha (acronyme de Completely Automated Public Turing test to tell Computers and Humans Apart) est un test automatique placé sur les sites web pour distinguer un utilisateur humain d'un robot logiciel.

Le terme a été forgé en 2003 par des chercheurs de Carnegie Mellon University (Luis von Ahn, Manuel Blum, Nicholas Hopper, John Langford). Il fait référence au test de Turing d'Alan Turing (1950) qui consistait à déterminer si une machine peut se faire passer pour un humain — mais ici inversé : la machine (le site web) teste si son interlocuteur est humain.

Pourquoi distinguer humains et robots ?

Les bots (scripts automatisés) peuvent exploiter massivement les formulaires web pour des actions nuisibles :

• Credential stuffing : tester des milliers de couples identifiants/mots de passe volés ailleurs.
• Brute force sur formulaires de connexion : tester des mots de passe courants.
• Création massive de faux comptes : spam, faux avis, manipulation de services gratuits.
• Spam dans les commentaires : publicités, liens malveillants.
• Scraping intensif : aspiration de contenu, surveillance de prix concurrence.
• Scalping : achat automatisé de billets, consoles, sneakers en édition limitée pour revente.
• Fraude à l'inscription : abus de codes promotionnels, essais gratuits.
• Enumeration d'utilisateurs : tester quels emails ont un compte.
• Attaques DDoS applicatives L7 : surcharge de formulaires coûteux.

Le captcha insère une friction qui empêche l'automatisation massive. Un humain peut résoudre un captcha en quelques secondes, un bot classique ne peut pas.

Où trouve-t-on des captchas ?

• Pages de création de compte.
• Formulaires de connexion (après plusieurs échecs typiquement).
• Formulaires de contact.
• Commentaires et avis.
• Achats en ligne (parfois).
• Recherches sur des sites sensibles (billets d'avion, produits rares).
• Téléchargements gratuits.
• Inscription à des newsletters.

Le captcha dans l'écosystème de sécurité web

Le captcha est une couche parmi plusieurs dans la défense contre les bots :

• WAF : filtre les attaques applicatives connues en amont.
• Rate limiting : limite le nombre de requêtes par IP ou utilisateur.
• Captcha : vérification humaine sur les actions sensibles.
• Bot management dédié : analyse comportementale fine (DataDome, PerimeterX, Akamai Bot Manager).
• Fingerprinting : détection des outils d'automatisation (Selenium, Puppeteer, Playwright).
• Challenge cryptographique : proof-of-work côté client.

Le captcha n'est qu'un premier rempart contre les bots, pas une solution complète. En 2026, face aux bots qui exploitent l'IA pour résoudre automatiquement les puzzles visuels, les captchas efficaces sont devenus largement invisibles et comportementaux.

02 — HistoireDe AltaVista à l'IA générative

1997 — Les précurseurs

Le concept émerge pour protéger AltaVista et Yahoo contre les bots qui soumettaient massivement des URLs à leurs moteurs de recherche. Andrei Broder (AltaVista) développe en 1997 le premier système pratique : une image de texte déformée que seul un humain peut lire.

2003 — Le terme « CAPTCHA » est forgé

Luis von Ahn et son équipe à Carnegie Mellon publient l'article qui donne son nom au concept et formalise l'approche. Le captcha devient un standard web dans les années 2000.

2007 — reCAPTCHA

Luis von Ahn lance reCAPTCHA avec une idée brillante : utiliser les captchas pour numériser des livres. Deux mots déformés étaient présentés — un connu (pour vérifier l'humain), un inconnu (provenant de livres scannés) dont la réponse collective servait à corriger l'OCR. Des milliards de mots du New York Times et Internet Archive ont été numérisés de cette façon. reCAPTCHA est racheté par Google en 2009.

2012-2014 — reCAPTCHA v2 (la case « Je ne suis pas un robot »)

Google lance No CAPTCHA reCAPTCHA : au lieu de résoudre un puzzle, l'utilisateur coche une simple case. Google analyse en arrière-plan le comportement — mouvement de la souris, cookies, historique — pour décider si c'est un humain. Si incertain, un puzzle d'images apparaît (identifier les feux tricolores, bus, passages piétons — dont les réponses servent à entraîner les IA de Google pour la voiture autonome).

2018 — reCAPTCHA v3 (captcha invisible)

Google lance reCAPTCHA v3 100% invisible pour l'utilisateur. Plus de case à cocher, plus de puzzle : le système analyse en continu le comportement et renvoie un score de 0 à 1 au site, qui décide quoi faire selon le niveau de confiance. Objectif : éliminer la friction utilisateur.

2018-2020 — Émergence d'hCaptcha et alternatives

hCaptcha est lancé en 2018 par Intuition Machines comme alternative à reCAPTCHA, positionné plus respectueux de la vie privée et rémunérant les sites qui l'intègrent. Adopté massivement par Cloudflare de 2020 à 2023 pour ses challenges automatiques.

2022 — Cloudflare Turnstile

Cloudflare lance Turnstile en septembre 2022, conçu comme alternative à reCAPTCHA et hCaptcha avec focus vie privée : pas de cookies, pas de tracking publicitaire, pas de résolution de puzzle visible dans la plupart des cas. Gratuit. Adoption rapide en 2023-2024.

2023-2024 — L'IA casse les captchas visuels

L'arrivée des modèles de vision IA (GPT-4 Vision, Google Gemini, Claude 3, modèles open source) résout automatiquement les captchas d'images avec 90-95% de précision en quelques secondes. Les services commerciaux (2Captcha, Anti-Captcha, CapMonster) intègrent ces modèles. Le captcha visuel traditionnel perd sa valeur défensive.

2024-2026 — Vers des captchas comportementaux et proof-of-work

Les réponses du secteur :

• Captchas comportementaux invisibles (Turnstile, reCAPTCHA v3).
• Proof-of-work : Friendly Captcha, Altcha — le navigateur résout une énigme cryptographique coûteuse en CPU, invisible pour l'humain mais coûteuse pour les bots en masse.
• Device fingerprinting avancé.
• Bot management spécialisé.
• Attestations d'appareil : Apple App Attest, Android Play Integrity, Web Environment Integrity (Google, controversée).

03 — TypesLes grandes familles de captchas

1. Texte déformé (historique)

Le captcha classique jusqu'aux années 2010 : image de lettres et chiffres déformés que l'utilisateur doit retranscrire. Obsolète aujourd'hui : les OCR modernes (Google Vision, Tesseract améliorés, modèles de vision IA) les résolvent avec 95%+ de précision. Encore présent sur certains vieux systèmes mais plus considéré comme sécurisé.

2. Captcha à images (reCAPTCHA v2 classique)

Grille d'images où l'utilisateur doit sélectionner celles correspondant à une catégorie (feux tricolores, passages piétons, bus, vélos, cheminées). Longtemps la norme, aujourd'hui largement automatisable par IA. Reste utile comme friction pour bots basiques mais contournée par les bots avancés.

3. Case à cocher comportementale (reCAPTCHA v2 moderne)

« Je ne suis pas un robot » : case simple dont le coche déclenche une analyse en arrière-plan. Si le comportement semble humain (mouvement souris, cookies, historique Google), l'utilisateur passe. Sinon, un puzzle d'images apparaît. Équilibre UX / sécurité.

4. Captcha invisible (reCAPTCHA v3, Turnstile)

Aucune interaction utilisateur. Le système analyse en continu le comportement (mouvements souris, patterns de frappe, temps passé, empreinte navigateur, réputation IP, cookies) pour calculer un score de probabilité humaine. Le site reçoit ce score et décide quoi faire : autoriser, bloquer, demander un challenge secondaire. Approche dominante en 2026.

5. Proof-of-work (Friendly Captcha, Altcha)

Le navigateur de l'utilisateur résout une énigme cryptographique (trouver un hash avec certaines propriétés) qui prend ~100 ms à 1 seconde. Invisible pour l'humain, mais coûte un petit calcul à chaque tentative. Pour un bot qui veut envoyer 1 million de requêtes, le coût cumulé devient prohibitif. Approche privacy-friendly (pas de collecte de données) en forte croissance.

6. Captcha audio

Version audio pour utilisateurs malvoyants : une série de chiffres prononcés à retranscrire. Obligatoire pour l'accessibilité mais encore plus facile à contourner par IA que le captcha visuel (reconnaissance vocale moderne très efficace).

7. Captcha logique

« Combien font 3 + 2 ? », « Quelle couleur est le ciel ? ». Facile pour humain, facile pour IA aussi. Efficace uniquement contre les bots les plus basiques.

8. Honeypot

Champ caché (via CSS) dans le formulaire : un humain ne le voit pas et ne le remplit pas, mais un bot basique qui remplit tous les champs se trahit. Technique simple, gratuite, efficace contre les spam bots génériques. Pas vraiment un captcha mais technique complémentaire.

9. Puzzle interactif (drag and drop)

Glisser une pièce pour compléter un puzzle, placer un slider au bon endroit. Visuellement engageant. Efficacité variable selon la complexité, contournable par bots avancés.

10. Attestations d'appareil

Approche émergente : le navigateur ou le système atteste que l'appareil est légitime (non virtualisé, non automatisé). Implémentations : Apple Private Access Tokens, Android Play Integrity, Web Environment Integrity (proposition Google controversée retirée en 2023). Tension entre efficacité anti-bot et ouverture du web.

04 — ActeursLe marché des captchas

reCAPTCHA (Google)

Historiquement dominant avec ~60% de parts de marché. Versions :

• reCAPTCHA v2 : case à cocher + puzzle d'images si besoin. Toujours très utilisé.
• reCAPTCHA v3 : invisible, score 0-1 envoyé au site.
• reCAPTCHA Enterprise : version payante avec plus de fonctionnalités, intégration Google Cloud.

Points forts : très efficace, infrastructure massive de Google, reconnaissance mondiale. Critiques : collecte de données Google utilisée pour le profilage publicitaire, conformité RGPD délicate, dépendance à un acteur américain. La CNIL et plusieurs DPA européennes ont exprimé des réserves.

hCaptcha

Lancé en 2018 par Intuition Machines. Alternative à reCAPTCHA positionnée privacy-friendly. Adopté massivement par Cloudflare de 2020 à 2023 pour ses challenges (remplacé par Turnstile depuis). Utilisé par Discord, Cloudflare, et de nombreux sites grand public.

Modèle économique : rémunère les sites qui intègrent hCaptcha. Version gratuite suffisante pour la plupart, Enterprise pour fort trafic. Plus respectueux vie privée que reCAPTCHA mais transfère tout de même des données aux USA.

Cloudflare Turnstile

Lancé par Cloudflare en septembre 2022. Conçu privacy-first :

• Pas de cookies, pas de tracking publicitaire.
• Invisible pour la plupart des utilisateurs.
• Gratuit, sans limite de volume.
• API similaire à reCAPTCHA pour migration facile.
• Hébergé sur l'infrastructure edge Cloudflare.

Adoption rapide, devient une référence en 2024-2026 notamment pour les sites européens soucieux de RGPD. Position recommandée par de nombreux experts sécurité par défaut.

Friendly Captcha

Société allemande (Munich) lancée en 2020. Captcha proof-of-work : le navigateur résout une énigme cryptographique invisible. Pas de collecte de données personnelles, 100% conforme RGPD par design. Hébergement européen. Adopté par Deutsche Bahn, le gouvernement allemand, de nombreux sites européens. Version gratuite jusqu'à 1 000 requêtes/mois, payant au-delà.

Altcha

Alternative open source à Friendly Captcha. Proof-of-work, self-hostable, 100% privacy. Option intéressante pour les projets qui veulent garder le contrôle total ou éviter toute dépendance tierce.

Autres acteurs notables

• Arkose Labs : puzzles interactifs visuels, orienté fraude enterprise.
• GeeTest : captcha chinois, puzzles interactifs, très utilisé en Asie.
• Microsoft Azure AD CAPTCHA : intégré aux formulaires d'identité Microsoft.
• AWS WAF Bot Control + CAPTCHA : intégré à AWS.

Bot management spécialisé (au-delà du captcha)

Pour les sites à fort risque de fraude, le captcha seul ne suffit pas. Les solutions dédiées font du bot management avancé :

• DataDome : français (Paris), leader européen, très présent e-commerce.
• PerimeterX (racheté par HUMAN Security).
• Akamai Bot Manager.
• Cloudflare Bot Management.
• Imperva Advanced Bot Protection.
• Kasada.
• Netacea, Reblaze.

Services de contournement (légaux et illégaux)

• 2Captcha, Anti-Captcha, CapMonster, DeathByCaptcha : services payants qui résolvent des captchas via travailleurs humains sous-payés et IA. 1-3 USD pour 1000 captchas résolus. Utilisés majoritairement par des bots frauduleux. Zone grise légalement.
• Modèles IA en open source : résolvent les captchas visuels classiques directement.

05 — ContournementComment les bots contournent les captchas

Résolution automatique par IA

Les modèles de vision IA modernes (GPT-4 Vision, Gemini, Claude 3) résolvent les captchas d'images (reCAPTCHA v2) avec 90-95% de précision. La résolution par API prend 2-5 secondes et coûte quelques centimes d'euros. Pour des volumes industriels, des modèles open source spécialisés (YOLOv8 customisés, CLIP-like) font l'équivalent localement sans coût d'inférence API.

Services de résolution humaine

Sweatshops de captchas : des plateformes comme 2Captcha, Anti-Captcha, CapMonster emploient des travailleurs (souvent dans des pays à faible coût, payés quelques centimes par captcha résolu) qui résolvent les captchas envoyés par les bots. Tarif typique : 1-3 USD pour 1000 captchas. Intégration via API simple : le bot envoie l'image, reçoit la réponse en quelques secondes.

Contournement par fingerprinting navigateur

Les bots sophistiqués imitent parfaitement un vrai navigateur :

• Puppeteer Stealth, Playwright Stealth : bibliothèques qui masquent les signes d'automatisation.
• Fingerprint spoofing : User-Agent, canvas, WebGL, fonts, timezone adaptés.
• Résidentiels proxies : IP de vraies connexions domestiques (via réseaux de proxies comme Bright Data, ancien Luminati), moins détectables que des IP datacenter.
• Comportement humain simulé : mouvements souris imitant des humains, pauses réalistes, vitesse de frappe variable.

Comptes compromis

Les bots utilisent des comptes déjà établis et jugés « humains » par le système : cookies persistants, historique Google légitime, etc. Le captcha est alors passé automatiquement.

Attaques par force brute et retry

Même avec un captcha à 90% de résistance, 1 tentative sur 10 passe. Pour un attaquant qui veut tester 1 million de credentials, 100 000 passeront. Le captcha seul ne suffit pas sur un site à haut volume.

Limites structurelles du captcha

• L'IA rattrape l'humain : toute épreuve que l'humain sait faire, l'IA finit par savoir faire aussi.
• La monétisation de la résolution humaine : il y aura toujours des humains prêts à résoudre des captchas pour quelques centimes.
• Les attaquants ciblés ne passent pas à l'échelle : un captcha dissuade les attaques massives, pas les attaques ciblées limitées.
• Le captcha crée de la friction UX : trop restrictif, il fait fuir des utilisateurs légitimes.

Réponse moderne : défense multi-couches

La défense efficace combine :

• Captcha invisible comportemental (Turnstile, reCAPTCHA v3).
• Rate limiting aggressif par IP, par compte, par endpoint.
• Fingerprinting avancé : détection des outils d'automatisation.
• Bot management dédié pour les sites critiques (DataDome, HUMAN Security).
• Analyse comportementale post-connexion : un compte créé peut se révéler frauduleux plus tard.
• Challenges adaptatifs : demander un captcha visible uniquement en cas de doute.
• Threat intelligence : blocage d'IP et empreintes connues comme malveillantes.

06 — RGPD et accessibilitéLes enjeux compliance

Problématique RGPD

Les captchas commerciaux (reCAPTCHA, hCaptcha) posent des questions de conformité :

• Collecte de données personnelles : IP, cookies, empreintes navigateur constituent des données personnelles au sens du RGPD.
• Transfert hors UE : transferts vers les USA soumis à l'encadrement RGPD (anciennes clauses contractuelles, désormais EU-US Data Privacy Framework).
• Consentement : l'intégration d'un captcha tiers sur une page nécessite typiquement le consentement de l'utilisateur (bandeau cookies).
• Information : mention obligatoire dans la politique de confidentialité.

Décisions des DPA européennes

• DPA autrichienne (2022-2023) : plusieurs sanctions sur l'usage de reCAPTCHA non conforme, notamment l'absence de consentement.
• CNIL : n'a pas interdit reCAPTCHA mais rappelle les obligations de consentement et d'information.
• EDPS (Contrôleur européen de la protection des données) : alertes sur les intégrations tierces non contrôlées.

Stratégies de conformité

• Privilégier les captchas privacy-first : Cloudflare Turnstile, Friendly Captcha, Altcha.
• Si reCAPTCHA ou hCaptcha utilisé : consentement explicite obligatoire (bandeau cookies), information complète dans la politique de confidentialité, mention de l'éditeur et du transfert aux USA.
• Alternative proposée : prévoir une alternative pour les utilisateurs refusant le captcha (formulaire sans captcha avec autre friction, contact téléphonique).
• Minimisation : n'activer le captcha que sur les pages à risque (pas toute la navigation).

Accessibilité

Les captchas peuvent exclure des utilisateurs, notamment :

• Malvoyants : captchas d'images inaccessibles, alternatives audio souvent de mauvaise qualité.
• Personnes avec handicap cognitif : compréhension difficile des consignes complexes.
• Personnes avec mobilité réduite : captchas demandant précision souris difficiles.
• Utilisateurs âgés : complexité technique intimidante.
• Usage mobile : captchas conçus desktop difficiles sur petits écrans.

Obligations légales françaises

• Décret relatif à l'accessibilité numérique : les sites des administrations et certaines entreprises doivent respecter le RGAA (Référentiel Général d'Amélioration de l'Accessibilité). Les captchas doivent proposer des alternatives accessibles.
• WCAG 2.1/2.2 : standard international, critères concernant les captchas (§1.1.1, proposer plusieurs formes).
• European Accessibility Act 2025 : renforce les exigences d'accessibilité.

Recommandations pour la conformité

• Privilégier les captchas invisibles qui ne gênent pas la plupart des utilisateurs (Turnstile en premier choix).
• Proposer des alternatives : captcha visuel + audio + logique.
• Tester avec des lecteurs d'écran (NVDA, JAWS, VoiceOver).
• Ne pas utiliser de captcha sur les actions non critiques.
• Privilégier les captchas à friction minimale : une seule action requise.
• Permettre le passage par captcha après plusieurs échecs plutôt que systématique.

07 — Bonnes pratiquesIntégrer un captcha efficacement

08 — FAQQuestions fréquentes

Pourquoi je vois de plus en plus de captchas ?

Deux raisons principales. Premièrement, les bots sont en forte croissance : selon les rapports d'Imperva et DataDome, le trafic bot représente 40-50% du trafic web total en 2024, dont la moitié est malveillant (credential stuffing, scraping, fraude). Cela pousse les sites à déployer plus de protections. Deuxièmement, les algorithmes de détection comportementale classent certains profils utilisateurs comme « suspects » et déclenchent des challenges : utilisateurs sur VPN, utilisateurs avec navigateur peu courant, utilisateurs qui bloquent les cookies ou scripts, IP résidentielles partagées. Ironiquement, les utilisateurs qui protègent leur vie privée voient plus de captchas car ils correspondent au profil « bot potentiel » selon les algos.

Pourquoi certains captchas reCAPTCHA sont impossibles à résoudre ?

Phénomène connu : reCAPTCHA v2 peut enchaîner des puzzles très difficiles (8-10 d'affilée) pour les utilisateurs dont le score de confiance est bas. Facteurs qui baissent le score : VPN actif, navigateur Tor, pas de compte Google, pas de cookies Google, extensions privacy (uBlock Origin, Privacy Badger), navigateur non-Chrome. Google punit ainsi implicitement les utilisateurs qui se protègent de leur tracking. C'est l'une des raisons de la migration vers des alternatives comme Turnstile qui ne discriminent pas selon le profil publicitaire de l'utilisateur.

L'IA peut-elle résoudre tous les captchas ?

Les captchas visuels traditionnels — oui, largement. GPT-4 Vision, Gemini et Claude résolvent reCAPTCHA v2 avec 90-95% de précision. Les captchas invisibles comportementaux (Turnstile, reCAPTCHA v3) sont plus résistants car ils dépendent de signaux comportementaux difficiles à falsifier parfaitement. Les captchas proof-of-work (Friendly Captcha) ne reposent pas sur la difficulté cognitive mais sur le coût computationnel — l'IA ne les résout pas plus vite qu'un navigateur normal, c'est le volume qui est coûteux. Aucun captcha n'est parfaitement résistant : l'objectif est de rendre l'attaque non rentable à grande échelle, pas impossible.

Le captcha est-il payant pour mon site ?

Dépend du service. Gratuits pour la plupart des usages : Cloudflare Turnstile (illimité), reCAPTCHA v2/v3 (jusqu'à 1 million d'évaluations/mois), hCaptcha (gratuit standard, Enterprise payant). Payants dès début : Friendly Captcha (après 1 000 requêtes/mois), solutions bot management dédiées (DataDome, PerimeterX — plusieurs milliers €/an pour ETI). Pour un site grand public classique, le gratuit suffit. Pour un site e-commerce à fort enjeu ou traité de fraude élevé, investir dans une solution bot management est rentable.

Puis-je développer mon propre captcha ?

Techniquement oui, mais généralement déconseillé. Un captcha maison sera largement moins efficace qu'une solution mature : les services commerciaux ont des modèles entraînés sur des millions d'exemples de bots, une infrastructure de détection massive, des mises à jour en temps réel. Exception pertinente : honeypot — champ caché en CSS que seuls les bots basiques remplissent. C'est simple, gratuit, efficace en complément d'un vrai captcha. Autre approche : Altcha (open source) offre une solution proof-of-work auto-hébergée qui couvre la plupart des besoins sans dépendance tierce.

Le captcha remplace-t-il le rate limiting ?

Non, ils sont complémentaires. Le rate limiting limite le nombre de requêtes par IP, utilisateur ou endpoint sur une période donnée — protection de premier niveau, très efficace contre les attaques volumétriques basiques. Le captcha vérifie la nature humaine sur les actions sensibles — efficace contre les bots qui passent le rate limiting en utilisant des milliers d'IP. Les deux doivent coexister : rate limiting partout, captcha sur les actions critiques (inscription, connexion répétée, formulaires publics). Complément utile : détection de patterns comportementaux (vitesse anormale, séquences identiques) pour déclencher des protections additionnelles.