CAPTCHA
Qu'est-ce que CAPTCHA ?
CAPTCHATest de defi-reponse concu pour distinguer les humains des bots, generalement deploye sur les pages d'inscription, de connexion et de soumission de formulaire.
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) propose une tache facile pour un humain mais difficile pour un logiciel: texte deforme, selection d'images, audio ou analyse comportementale invisible. Des services modernes comme Google reCAPTCHA v3, hCaptcha et Cloudflare Turnstile attribuent un score a chaque requete en utilisant signaux du navigateur, reputation IP et patrons d'interaction. Les CAPTCHA reduisent le credential stuffing, le scraping, la creation de faux comptes et le spam mais ne remplacent pas l'authentification et sont resolus a grande echelle par IA ou fermes humaines. Ils posent aussi des problemes d'accessibilite et de vie privee: a utiliser comme couche parmi rate limiting, MFA, gestion des bots et analyse comportementale.
● Exemples
- 01
reCAPTCHA v3 renvoie un score de risque entre 0.0 et 1.0 par requete.
- 02
Widget Cloudflare Turnstile sur un formulaire de connexion.
● Questions fréquentes
Qu'est-ce que CAPTCHA ?
Test de defi-reponse concu pour distinguer les humains des bots, generalement deploye sur les pages d'inscription, de connexion et de soumission de formulaire. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie CAPTCHA ?
Test de defi-reponse concu pour distinguer les humains des bots, generalement deploye sur les pages d'inscription, de connexion et de soumission de formulaire.
Comment fonctionne CAPTCHA ?
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) propose une tache facile pour un humain mais difficile pour un logiciel: texte deforme, selection d'images, audio ou analyse comportementale invisible. Des services modernes comme Google reCAPTCHA v3, hCaptcha et Cloudflare Turnstile attribuent un score a chaque requete en utilisant signaux du navigateur, reputation IP et patrons d'interaction. Les CAPTCHA reduisent le credential stuffing, le scraping, la creation de faux comptes et le spam mais ne remplacent pas l'authentification et sont resolus a grande echelle par IA ou fermes humaines. Ils posent aussi des problemes d'accessibilite et de vie privee: a utiliser comme couche parmi rate limiting, MFA, gestion des bots et analyse comportementale.
Comment se défendre contre CAPTCHA ?
Les défenses contre CAPTCHA combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- attacks№ 232
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
- attacks№ 130
Attaque par force brute
Attaque qui essaie systématiquement toutes les valeurs possibles — typiquement mots de passe, PIN ou clés — jusqu'à trouver la bonne.
- network-security№ 118
Bot Management
Le bot management consiste a detecter le trafic automatise et a distinguer les bons bots des bots malveillants, puis a les autoriser, defier ou bloquer en consequence.
- network-security№ 904
Rate Limiting
Le rate limiting plafonne le nombre de requetes qu'un identifiant (IP, utilisateur, cle API ou token) peut emettre sur une fenetre de temps, protegeant les API et les applis contre l'abus, le scraping et le brute-force.
- network-security№ 1227
Pare-feu applicatif web (WAF)
Filtre en reverse proxy qui inspecte le trafic HTTP/HTTPS pour bloquer les attaques web (injection SQL, XSS, abus de bots) avant qu'elles n'atteignent l'application.
- attacks№ 010
Prise de controle de compte (ATO)
Attaque par laquelle un criminel prend le controle non autorise d'un compte legitime pour voler fonds, donnees ou commettre d'autres fraudes.