CAPTCHA ou ANTISPAM – privilégier la sécurité ou la lisibilité

Difficile aujourd’hui de passer à côté des CAPTCHA(1). Ce terme, un peu barbare, est utilisé aujourd’hui pour nommer ces fameuses lettres ou chiffres que l’on retrouve le plus souvent à la soumission d’un formulaire. Il est d’ailleurs plus communément nommé ANTISPAM.

Son but : vérifier que l’on est bien un humain et non un robot. Cela permet à l’auteur du site de se prémunir contre les soumissions de formulaires automatisées et intempestives réalisées par des robots sur Internet.

Pour quoi faire ? Éviter le spam, empêcher la participation automatique à des sondages, etc.

Comment ? En utilisant principalement la concaténation de chiffres et de lettres déformées, utilisant des polices différentes dans une image rendant ainsi la lecture indétectable par un robot.

L’accessibilité du CAPTCHA, débat actif sur la toile

Coté accessibilité (lisibilité), certains CAPTCHA peuvent causer pas mal de migraines. Il faut dire que leur contenu est parfois tellement déformé et brouillé qu’il finit par être difficilement déchiffrable à l’œil humain. La question est donc se savoir à quel point il faut compliquer la lecture d’un CAPTCHA sous le prétexte de la sécurité (efficacité à filtrer les robots).

D’autant qu’une étude a montré qu’ils sont tous contournables à plus ou moins grande échelle.

Différents types de CAPTCHA…

Certaines solutions se distinguent sur la toile.

SOLUTIONS CLASSIQUES

– Utiliser le son en plus d’un CAPTCHA complexe afin de permettre à n’importe quelle personne de le lire

– Utiliser la régénération de la séquence de chiffres et lettres afin de laisser plusieurs possibilités pour l’utilisateur

– Rendre plus explicite la séquence de chiffres et lettres par une concaténation de mots ayant un sens. Il existe néanmoins un risque de reconnaissance si la déformation n’est pas assez forte

– Tolérer quelques fautes d’orthographes pour faciliter la saisie

– Supprimer les accents, les espaces et les majuscules

SOLUTIONS EXOTIQUES

Si l’on souhaite passer outre la déformation des textes et modifications des polices, on peut opter pour d’autres systèmes plus originaux :

– Le CAPTCHA Arithmétique : 2+2 = [Donner la réponse]. Sans abus néanmoins car on peut trouver ce genre de casse tête également :

Antispam arithmétique

– Le Flash : qui a pour inconvénient néanmoins de nécessiter un player pour le lire

– La compréhension de texte : un puzzle logique, des questions ou des instructions, il n’y a que peu d’études concernant leur résistance face aux contre-mesures.

– La reconnaissance d’images : KittenAuth (2) est un test de ce type, qui demande à l’utilisateur de reconnaître un animal (des chatons) dans une série de photographies de différentes espèces (dauphins, chiots, renards, etc.)

Captcha avec reconnaissance d’image

En attendant une méthode « infaillible » de sécurisation de nos formulaires, le CAPTCHA reste un bon moyen de protection mais faut il encore qu’il soit apprécié des utilisateurs de nos sites.

Alors, un bon CAPTCHA, c’est quoi ?

La question finalement n’est pas de savoir si le logiciel de reconnaissance de forme peut contourner le CAPTCHA ? La vraie question est de savoir s’il y a beaucoup de spammers qui utilisent des technologies évoluées de reconnaissance de formes.

En fait, peu de sites qui proposent des CAPTCHA lors de la soumission de formulaires sont intempestivement dérangés par de la profusion de SPAM. Il est donc clair que le simple fait de poser un CAPTCHA est suffisamment dissuasif pour offrir une bonne protection.

Faut-il donc mieux avoir un CAPTCHA peu lisible mais filtrant 99,9999% des spams ou un CAPTCHA plus lisible et filtrant 99,99 % des spam ? A vous de répondre.

La réponse de la Gazelle :
De notre coté, nous avons fait le choix d’un CAPTCHA le plus lisible possible :, pour cela, nous avons préféré utiliser des séries de mots (dans la langue de l’internaute) et faiblement déformés. De plus, nous acceptons une légère tolérance aux fautes de frappe.

Résultat sur plusieurs centaines de milliers de visiteurs, le taux d’échec à la saisie de notre CAPTCHA est très faible (< 1%) et du coté de la sécurité, nous  ne déplorons à ce jour aucun SPAM automatique.

(1) CAPTCHA : Completely Automated Public Turing test to tell Computers and Humans Apart

(2) En savoir plus sur KittenAuth : http://thepcspy.com/kittenauth/

A voir ..

http://techcrunch.com/2010/10/24/captchas-ads-nucaptcha-engage/