Cette version de Captcha a été lancée récemment pour une raison évidente : les bots sont aujourd’hui suffisamment avancés pour lire les images Captcha, mieux que la plupart des humains. Ainsi, au lieu de rendre le CAPTCHA plus difficile pour les humains, il à été revu et corrigé pour tenir à distance les robots.

Les images des Captchas que vous avez l’habitude de voir depuis des années proviennent de livres scannés par Computer Vision ou OCR (Optical Character Recognition – Reconnaissance automatique des caractères). Le principal inconvénient est que l’utilisateur doit fournir un effort de quelques secondes.

No CAPTCHA reCAPTCHA, au contraire ne ralentit en aucun cas l’utilisateur. C’est juste une checkbox à cocher. Mais comment ce simple mécanisme peut aider à terminer les programmes malicieux hors de portée ?

Bien que la technologie exacte ne soit pas d’ordre public – ce serait tout simplement idiot, car le système serait de nouveau abusé par des millions de bots – on dispose quand même de plusieurs indices sur lesquels repose cette nouvelle version.

Ce CAPTCHA se base sur votre comportement AVANT que vous cliquiez la checkbox.
En cliquant, de nombreuses informations sont transmises à Google :

  • Votre adresse IP
  • Votre pays
  • Votre user-agent
  • Le timestamp (ou horodatage)
  • Les mouvements de votre curseur (ex : accélération sur l’axe X & Y),
  • Si vous avez scrollé sur la page,
  • L’intervalle de temps entre vos actions,
  • Si vous avez cliqué dans un endroit précis de la checkbox ou si vous cliquez toujours en plein centre
  • …. et bien d’autres infos gardées secrètes.

Google conserve les empreintes de millions de bots et fait aussi un matching de votre adresse IP et de votre user-agent afin de vérifier que celui-ci ne correspond pas à un pattern connu.

Dans le même temps, toutes ces informations sont envoyées dans l’outil de Machine Learning de Google, c’est à ce moment que ce programme – en constant apprentissage – détermine si vous êtes un humain ou non.

Dans le cas où vous échouez cette vérification, il vous sera proposé des images CAPTCHA traditionnelles afin de prouver votre humanité.

Si vous deviez absolument contourner ce type de CAPTCHA, je vous suggérerais de créer de multiples profils Google et de leur donner un comportement humain :

  • Avoir des comptes sur les principaux services de votre pays,
  • se connecter sur ces sites et participer,
  • ajouter un moyen de paiement et faire des achats chaque mois
  • Consulter ses mails, répondre, écrire, recevoir, envoyer des mails..
  • et ajouter aussi une bonne connaissance des mouvements de la main humaine 😉

Vous l’aurez compris le mot d’ordre est simulé une véritable vie humaine. Une véritable personne derrière votre compte.Une personne qui vit, et non un profil qui se connecte tous les jours pour effectuer la mm action.

Google historise de nombreuses informations à votre sujet sur votre compte Google : sur quel site vous avez été vu, quand, ce que vous avez fait dessus, votre vitesse de frappe, vos habitudes de clics, vos mouvements de souris…. Via Google Analytics, AdWords et AdSense. Toutes ces informations sont envoyées au moment où vous cliquez la checkbox.

Si vous êtes armé d’un ou plusieurs profils répondant à ces caractéristiques…vous avez une chance de passer au travers de ce type de protection.

Cette version tiendra probablement les robots éloignés quelque temps. Mais si l’on regarde les précédentes versions de ReCAPTCHA, il semble que ce soit juste une question de temps jusqu’à ce que les développeurs de bots rattrape la course.

Pour les anglophones, une très bonne vidéo de 5 minutes de Zuck That qui explique très bien ce procédé.