CAPTCHA ou ANTISPAM : privilégier la sécurité ou la lisibilité

Difficile aujourd’hui de passer à côté des CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Ce terme est utilisé aujourd’hui pour nommer ces fameuses lettres ou chiffres que l’on retrouve le plus souvent à la soumission d’un formulaire. Il est d’ailleurs plus communément nommé ANTISPAM.

Son but : vérifier que l’on est bien un humain et non un robot. Cela permet à l’auteur du site de se prémunir contre les soumissions de formulaires automatisées et intempestives réalisées par des robots sur Internet.

Pour quoi faire ? Éviter le spam, empêcher la participation automatique à des sondages, etc.

Comment ? En utilisant principalement la concaténation de chiffres et de lettres déformées, utilisant des polices différentes dans une image rendant ainsi la lecture indétectable par un robot.

L’accessibilité du CAPTCHA, débat actif sur la toile

Coté accessibilité (lisibilité), certains CAPTCHA peuvent causer pas mal de migraines. Il faut dire que leur contenu est parfois tellement déformé et brouillé qu’il finit par être difficilement déchiffrable à l’œil humain. La question est donc se savoir à quel point il faut compliquer la lecture d’un CAPTCHA sous le prétexte de la sécurité (efficacité à filtrer les robots).

D’autant qu’une étude a montré qu’ils sont tous contournables à plus ou moins grande échelle.

Différents types de CAPTCHA…

Certaines solutions se distinguent sur la toile :

Solutions Classiques

– Utiliser le son en plus d’un CAPTCHA complexe afin de permettre à n’importe quelle personne de le lire

– Utiliser la régénération de la séquence de chiffres et lettres afin de laisser plusieurs possibilités pour l’utilisateur

– Rendre plus explicite la séquence de chiffres et lettres par une concaténation de mots ayant un sens. Il existe néanmoins un risque de reconnaissance si la déformation n’est pas assez forte

– Tolérer quelques fautes d’orthographes pour faciliter la saisie

– Supprimer les accents, les espaces et les majuscules

SOLUTIONS EXOTIQUES

Si l’on souhaite passer outre la déformation des textes et modifications des polices, on peut opter pour d’autres systèmes plus originaux :

– Le CAPTCHA Arithmétique : 2+2 = [Donner la réponse]. Sans abus néanmoins car on peut trouver ce genre de casse tête également :

– Le Flash : qui a pour inconvénient néanmoins de nécessiter un player pour le lire

– La compréhension de texte : un puzzle logique, des questions ou des instructions, il n’y a que peu d’études concernant leur résistance face aux contre-mesures.

– La reconnaissance d’images :  par exemple un test qui demande à l’utilisateur de reconnaître un animal (des chatons) dans une série de photographies de différentes espèces (dauphins, chiots, renards, etc.)

En attendant une méthode « infaillible » de sécurisation de nos formulaires, le CAPTCHA reste un bon moyen de protection mais il faut encore qu’il soit apprécié des utilisateurs.

Alors, un bon CAPTCHA, c’est quoi ?

La question finalement n’est pas de savoir si le logiciel de reconnaissance de forme peut contourner le CAPTCHA ? La vraie question est de savoir s’il y a beaucoup de spammeurs qui utilisent des technologies évoluées de reconnaissance de formes.

En fait, peu de sites qui proposent des CAPTCHA lors de la soumission de formulaires sont intempestivement dérangés par de la profusion de SPAM. Il est donc clair que le simple fait de poser un CAPTCHA est suffisamment dissuasif pour offrir une bonne protection.

Faut-il donc mieux avoir un CAPTCHA peu lisible mais filtrant 99,9999% des spams ou un CAPTCHA plus lisible et filtrant 99,99 % des spam ?