Captcha : codes, images et devinettes pour prévenir le spam

« Spam will be a thing of the past in two years’ time! ». Avec cette prophétie, Bill Gates a surpris le public au forum économique mondial de Davos en 2004. Une erreur fatale, qui fait encore rire la communauté Internet aujourd'hui et place durablement le co-fondateur de Microsoft dans la liste des déclarations les plus hasardeuses de l'industrie informatique.

En 2004, même B. Gates n'avait aucune idée de l'évolution que pourrait prendre le spam au cours des années qui suivraient. Aujourd'hui encore, il ne se passe pas un jour sans que la plupart des internautes ne soient confrontés à des contenus publicitaires générés de façon automatique, que ce soit dans leur boîte mail, sur leur blog préféré, dans la fonction commentaire d'une boutique en ligne ou dans le livre d'or de leur propre page d'accueil.

En fait, les robots spammeurs deviennent de plus en plus intelligents. Les programmes informatiques en grande partie autonomes recherchent sur Internet des champs de formulaires et d'autres éléments de pages Web interactifs pour placer les messages publicitaires de vos programmeurs, et surmonter même les procédures ingénieuses anti-spam très rapidement.

Pendant longtemps, le captcha a été considéré comme un rempart contre les spams. Mais ses requêtes ennuyeuses constituent plus souvent un obstacle pour les utilisateurs humains aujourd'hui que pour les programmes sophistiqués. En fait, des études récentes sur la technologie captcha ont montré que les robots spammeurs ont souvent un taux d'erreur plus faible que les humains. Est-ce la fin des codes captcha, des quiz en images et des tests de logique ? Voici un aperçu des domaines d'application de la technologie captcha, une comparaison des différents types, ainsi que des alternatives de prévention du spam.

Qu'est-ce qu'un captcha ?

Un captcha est une méthode de protection anti-spam. L'objectif est de protéger les sites Web interactifs contre les abus en filtrant les entrées générées automatiquement. L'acronyme captcha signifie Completely Automated Public Turing test to tell Computers and Humans Apart. En français littéral, un captcha est donc un test de Turing public entièrement automatique pour distinguer les ordinateurs des humains.

Dès 1950, l'informaticien Alan Turing proposa une procédure pour tester la capacité de pensée de l'intelligence artificielle. Selon ce pionnier de l'informatique, une machine est capable d'imiter la capacité de pensée humaine si elle réussit à dialoguer avec les gens sans qu'ils ne remarquent qu'il s'agit d'un ordinateur.

Le test de Turing est entré dans l'histoire de la recherche sur l'IA (intelligence artificielle) et n’avait été réussi par un programme informatique avant 2014 : Eugene Goostman a été la première machine au monde à tromper plus de 30% d'un jury indépendant pendant au moins 5 minutes. Eugene a réussi à faire semblant d'être un adolescent ukrainien avec des cochons d'Inde, et charmé par les textes politiquement incorrects du rappeur Eminem.

Ce qui semble être de la science-fiction constitue aujourd'hui l'un des principaux problèmes d'Internet. Pour les sites Web interactifs, il est essentiel de pouvoir distinguer les internautes des programmes informatiques dans le contexte de la vérification humaine. Les captchas de plus en plus sophistiqués sont conçus pour aider à empêcher les entrées automatisées ou les requêtes de spam et les robots de clics (bots).

Quel est le but des captchas ?

Les captchas sont généralement utilisés lorsque les applications Web requièrent la participation de l'utilisateur. Imaginez que vous exploitiez une boutique en ligne et donniez à vos clients la possibilité d'écrire des commentaires sur les produits avec une fonction de commentaire. Dans ce cas, vous voulez vous assurer que les entrées proviennent bien de vos clients ou du moins des visiteurs humains de votre site Web. Au lieu de cela, on trouve souvent un grand nombre de messages de spam générés automatiquement, avec dans le pire des cas, des liens vers des concurrents.

Ces dommages peuvent être limités en utilisant un captcha pour sécuriser les formulaires en ligne, ce qui exige des vérifications des utilisateurs avant d’envoyer leurs soumissions. Aujourd'hui, on peut trouver des captchas dans presque tous les domaines où les internautes doivent être distingués des robots. Ceci comprend les formulaires d'inscription pour les services de courrier électronique, les bulletins d'information, les communautés et les réseaux sociaux, mais également les sondages en ligne ou les services Web tels que les moteurs de recherche.

Au fil du temps, différentes méthodes de vérification humaine ont été mises au point. Toutefois, en principe, aucune méthode établie n'offre une sécurité à 100% contre le spam et dans tous les cas, la technologie captcha est associée à une perte de convivialité.

Quels sont les différents types de captchas ?

Le concept de captchas repose sur l'hypothèse que, malgré les progrès rapides de la recherche sur l'IA, il existe encore des différences entre la capacité mentale de l'être humain et celle d'un programme informatique. Chaque captcha comprend donc au moins une tâche qui doit être facilement maîtrisée par les utilisateurs humains mais qui, en théorie, représente un problème insoluble pour les robots.

Les méthodes basées sur captcha pour la vérification humaine peuvent être divisées en plusieurs catégories : reconnaissance de texte et d'image, capture audio, calcul mathématique, question logique et procédés de ludification.

Les captchas basés sur du texte

La plus ancienne forme de vérification humaine est le captcha textuel. Les mots connus ou les combinaisons aléatoires de lettres et de chiffres sont masqués. Pour réussir le test, l'utilisateur doit déchiffrer la solution affichée dans la zone captcha et la saisir dans un champ de texte dédié. Les méthodes traditionnelles utilisées pour créer des captchas textuels sont Gimpy, ez-Gimpy, Gimpy-r et HIP de Simard.

Le brouillage partiel implique différentes étapes au cours desquelles les caractères individuels du mot de la solution sont déformés, changent d'échelle, ou sont courbés et combinés avec d'autres éléments graphiques tels que des lignes, des arcs, des points, des dégradés de couleurs ou des bruits de fond. Les illustrations suivantes montrent une sélection de transformations de texte possibles que l’on peut rencontrer sur Internet.

Aperçu de plusieurs captchas basés sur du texte — Les transformations de texte et le bruit de fond devraient rendre la lecture automatique plus difficile avec les systèmes de reconnaissance de texte.

Les captchas de texte n'offrent une protection fiable contre le spam que si le mot de solution affiché représente un obstacle insurmontable pour les programmes avec reconnaissance automatique de texte. Cependant, cela suppose généralement une déformation, ce qui limite aussi considérablement la lisibilité pour les utilisateurs humains.

Ce problème est bien illustré à travers les exemples suivants. Pour enregistrer une adresse email gratuite chez GMX, on est par exemple confronté à des captchas basés sur du texte selon le schéma suivant.

Contrôle de sécurité grâce un captcha basé sur du texte

Un utilisateur humain peut facilement reconnaître les caractères 1VYEJX, mais le code est parfois plus compliqué à lire à cause de caractères fortement déformés.

Question de sécurité d’un captcha basé sur du texte — Question de sécurité dans le cadre d’une inscription pour GMX email

La déformation va parfois si loin que même les utilisateurs humains peuvent être dépassés. En général, un captcha bien mis en œuvre offre la possibilité de sauter la première proposition et d'essayer avec un autre mot, un peu plus lisible. Mais il est évident que ce n’est pas une partie de plaisir pour les visiteurs du site Web qui sont le plus souvent confrontés à des captchas compliqués.

Au fil du temps, de nombreuses alternatives à la technologie captcha textuelle ont été mises en place. Google offre une variante célèbre de la capture de texte classique avec reCAPTCHA. Au lieu de générer des mots de solution aléatoires, reCAPTCHA se nourrit de divers projets de numérisation tels que Google Books ou Google Street View. Par exemple, les utilisateurs peuvent afficher des noms de rue, des numéros de maison, des panneaux de signalisation routière, des enseignes de ville et des fragments de segments de texte numérisés, qui doivent être déchiffrés et saisis dans un champ de texte à l'aide du clavier. Le logiciel offre toujours deux éléments : un élément connu, déjà confirmé et un élément non confirmé. En principe, les utilisateurs n'ont qu’à reconnaître le premier élément afin de compléter le captcha avec succès. Les utilisateurs qui déchiffrent également le deuxième élément participent au programme de numérisation de Google. Les entrées sont vérifiées sur une base statistique. Les éléments décryptés sont toujours présentés à plusieurs utilisateurs. La réponse la plus courante est correcte.

L'exemple suivant montre deux requêtes reCAPTCHA de conception différente que les utilisateurs rencontrent dans le contexte des enregistrements communautaires, par exemple.

reCAPTCHA classique dans le cadre d’une connexion utilisateur. — Depuis 2015, reCAPTCHA utilise de plus en plus la signalisation routière pour améliorer la qualité de Google Street View.

Les captchas basés sur les images

Les méthodes basées sur l'image constituent une alternative aux captchas de texte. Au lieu de présenter aux utilisateurs une solution composée de chiffres et de lettres, les captchas basées sur l'image s'appuient sur des éléments graphiques qui peuvent être reconnus rapidement. En règle générale, plusieurs motifs sont présentés côte à côte. L'utilisateur a la tâche de cliquer sur un certain motif, d'identifier des motifs similaires ou de représenter une connexion sémantique.

L'exemple suivant montre un captcha basé sur l'image, qui est utilisé dans le service Google reCAPTCHA. L'utilisateur est invité à sélectionner toutes les images montrant du café.

Captcha images de Google — Google utilise des captchas classiques basé sur des images.

Par ailleurs, Google utilise des captchas qui permettent aux utilisateurs de ne sélectionner que certaines zones d'une photo, comme tous les champs où des parties d'un panneau de signalisation sont affichées. Contrairement aux reCAPTCHAs textuels, il suffit de cliquer sur les zones d'écran correspondantes pour réussir cette étape de test.

reCAPTCHA basé sur Google Street View — Les captchas images s‘appuient également sur du contenu de Google Street View.

La plupart des utilisateurs identifient la solution d'un captcha basé sur l'image en quelques clics. Cependant, la capacité des programmes informatiques à identifier une image, à la classifier avec des mots, et à repérer des motifs similaires est encore très limitée aujourd'hui. On considère donc que les captchas à base d'images ont un effet protecteur plus élevé que les méthodes textuelles.

Les captchas audio

Des captures de texte et d'images peuvent être affectées aux procédures de vérification graphique humaine. L'aptitude d'un utilisateur humain à réussir cette étape de test dépend de sa capacité à reconnaître les informations textuelles ou iconographiques. Pour les personnes ayant une déficience visuelle, un captcha graphique peut constituer un obstacle insurmontable. Les captchas, qui ne peuvent être perçus que par l'un des sens humains, présentent donc une faible usabilité et ne sont pas considérés comme étant sans obstacle. Les exploitants de sites Web utilisant des captchas devraient donc s'assurer que la méthode d'essai choisie offre aux utilisateurs de multiples solutions sur différents canaux sensoriels.

Afin de permettre aux personnes malvoyantes d'accéder aux zones protégées par captcha d'une application Web, les méthodes de test basées sur du texte ou de l'image sont généralement combinées avec des captchas audio. Souvent, il s’agit d’un bouton avec lequel les utilisateurs peuvent écouter un enregistrement audio, par exemple une courte séquence de chiffres, qui doit ensuite être tapée dans un champ prévu cet effet.

Google implémente actuellement des captchas audio de la façon suivante :

Captcha audio de Google — Les captchas audio permettent aux personnes ayant une déficience visuelle d'accéder aux zones sécurisées.

Afin de garantir une grande facilité d'utilisation du captcha, le son enregistré doit être compréhensible et adaptée à la langue de l'utilisateur. Google n'est pas un bon modèle pour cela. Bien que l'interface graphique du captcha puisse s’afficher en français, il est seulement possible de jouer un son anglais.

Captchas mathématiques et logiques

Une alternative captcha, qui prend également en compte les besoins des malvoyants, s'appuie sur des tâches mathématiques ou des énigmes pour filtrer les robots spammeurs. Une tâche comme celle de l’exemple ci-dessous peut également être lue avec un lecteur d'écran si nécessaire et est donc également disponible pour les utilisateurs via des périphériques de sortie non visuels.

Captcha mathématique — Pour s’identifier en tant qu’utilisateur humain, il est parfois nécessaire de résoudre des problèmes mathématiques simples.

Les tâches mathématiques simples ne requièrent en général que des connaissances scolaires de base, mais elles ne constituent pas un gros obstacle pour les robots spammeurs, car les ordinateurs sont clairement supérieurs aux humains dans le traitement des chiffres. Ce type de capcha est donc souvent combiné avec les différentes possibilités de déformation du texte, mais ceci élimine l'accessibilité pour les lecteurs d'écran. Il devient beaucoup plus difficile pour les programmes si le résultat du calcul n'est pas demandé sous forme de chiffre, mais sous forme de mot numérique ou s’il est suivi d’une consigne (Exemple : calculer 7 x 7 et entrer le premier chiffre du résultat dans le champ prévu à cet effet). Le résultat du calcul serait 49, mais la solution captcha 4.

En plus des tâches mathématiques, des tâches logiques ou des questions de culture générale sont également utilisées dans les captchas, souvent avec une référence thématique à l'application Web correspondante.

Captcha sous forme de question — Les captchas peuvent parfois prendre la forme d’une question adaptée au site Web auquel l’internaute souhaite accéder.

Les captchas logiques comprennent des questions qui peuvent sembler insignifiantes aux utilisateurs humains. Cependant, les robots spammeurs classiques ne sont généralement pas en mesure d'établir les raisonnements suivants :

Nommez toutes les couleurs de la liste : pomme, vert, orange, tomate, jaune. (Réponse : vert, orange, jaune)

Entrez le quatrième mot de cette phrase. (Réponse : mot)

Quelle est la troisième lettre de l'avant-dernier mot ? (Réponse : r)

Combien de pis a une vache ? (Réponse : un)

Les captchas de ce type sont généralement conçus de sorte que plusieurs variantes (par exemple majuscules et minuscules) conduisent au résultat souhaité.

La ludification dans les captchas

Les opérateurs de sites Web qui redoutent d'effrayer leurs visiteurs avec des captchas de texte cryptés ou des tâches mathématiques ardues peuvent profiter de la tendance du jeu qui s’empare des captchas. Des fournisseurs tels que SweetCaptcha et FunCaptcha offrent des mini-jeux plus ou moins divertissants qui peuvent être intégrés sous forme de captchas ludiques.

SweetCaptcha s'appuie sur la capacité des utilisateurs à s'associer avec les autres et leur propose des jeux simples. Dans l'exemple suivant, il suffit de déplacer les baguettes sur le tambour pour s’identifier en tant qu'être humain.

Exemple d’une énigme de SweetCaptcha — Cet exemple de test propose de glisser-déposer les baguettes sur le tambour.

SweetCaptcha utilise également une variante classique de puzzle captcha, dans laquelle les utilisateurs doivent glisser et déposer des éléments d'image dans la bonne position :

Exemple d’un puzzle captcha — Pour s’identifier en tant qu'être humain, les utilisateurs doivent résoudre le puzzle.

FunCaptcha fait pivoter les images. Ce n'est que lorsque le motif est dans la bonne position que le logiciel que l’utilisateur peut accéder au contenu du site.

Exemple de FunCaptcha — FunCaptcha part du principe que seuls les utilisateurs humains sont capables de remettre l’image dans le bon sens.

Sans être particulièrement divertissant, ce petit jeu est toutefois plus amusant qu’un texte déformé.

Quels sont les avantages et inconvénients des captchas ?

Si un captcha est capable de bloquer les robots spammeurs de façon fiable, mais permet l’accès aux utilisateurs humains, c’est une charge d'administration considérablement réduite pour la gestion d'un site Web. Les exploitants de sites qui offrent du contenu généré par l'utilisateur n’ont donc pas besoin de vérifier manuellement les contributions. En outre, c’est un soulagement considérable pour un serveur si les entrées et requêtes automatiques sont bloquées avant que ces réactions gourmandes en ressources ne déclenchent le système. Mais qu'est-ce qui fait un bon captcha ?

La recherche sur l'intelligence artificielle progresse régulièrement. La capacité des programmes spécialisés à lire des textes déformés ou à résoudre des tâches logiques s'améliore rapidement. Dès 2014, une équipe de recherche Google a publié une étude, selon laquelle les reCAPTCHAs classiques peuvent être résolus automatiquement dans 99,8 % des cas. En tant que base de données, 10 millions de numéros de maison annotés ont été utilisés, que l'équipe a générés via Google Street View.

De nombreux fournisseurs de captcha tentent de compenser les progrès de l'apprentissage machine par des procédures de test de plus en plus difficiles. Dans la pratique, les captchas touchent souvent aux limites de l'insolubilité.

Dès 2010, les chercheurs de l'Université Stanford ont publié une étude montrant que dans de nombreux cas, les captchas constituent un défi majeur, même pour les utilisateurs d'Internet. Dans cette étude, on a demandé à plus de 1 100 personnes de résoudre environ 318 000 captchas des schémas les plus couramment utilisés à l'époque.

En moyenne, les participants testés ont répondu aux captchas visuelles en 9,8 secondes. Pour les captchas audio, les personnes testées ont pris près de trois fois plus de temps avec 28,4 secondes. Si un seul et même captcha visuel a été montré à 3 sujets différents, ils n'ont trouvé la même solution que dans 71% des cas. Pour les captchas audio, la correspondance de 31 % était encore plus faible. De plus, les chercheurs ont constaté que les capchas audionumériques avaient un taux de rebond de 50 %. La question de savoir si une vérification humaine est utilisée et comment elle est réalisée a un effet sur la motivation d'un visiteur à interagir avec le site Web en question.

Dès 2009, la société SaaS MOZ a publié un article de blog à ce sujet sur l'effet des captchas sur les taux de conversion des formulaires Web. Dans une étude de cas, l'auteur de YouMoz Casey Henry a enquêté sur plus de 50 sites Web d'entreprise différents sur une période de 6 mois et a constaté que les taux de convergence des formulaires en ligne (par exemple dans les abonnements à la newsletter) ont chuté de 3,2 % en moyenne si les captchas étaient activés. Cependant, le volume de spam a également été réduit de 88%.

Les entreprises qui génèrent des revenus en permettant aux internautes d'interagir sur le site Web devraient se demander si un taux de rebond de cette ampleur est acceptable. Ici, les coûts des méthodes alternatives de lutte contre le spam doivent être compensés par la perte de revenus des captchas.

Captchas et accessibilité

Le choix d'une technologie captcha adaptée devient difficile pour les exploitants de sites Web qui souhaitent rendre leurs offres Internet accessibles à tous, y compris aux personnes handicapées.

La plupart des personnes handicapées utilisent Internet. Les possibilités du World Wide Web promettent souvent de rendre la vie quotidienne beaucoup plus facile, en particulier pour les internautes qui passent leur vie avec des restrictions. Cependant, la plupart des services en ligne ne sont toujours pas accessibles aux personnes handicapées. Les captchas représentent aussi souvent une barrière insurmontable, par exemple si la possibilité de vérification ne peut pas être perçue en raison d'une acuité visuelle limitée ou d'un handicap mental.

Les Web Content Accessibility Guidelines (WCAG) de la Web Accessibility Initiative (WAI) du World Wide Web Consortium (W3C) s'attaquent au problème de l'accessibilité sous l’angle des captchas et spécifient les points suivants comme exigences minimales pour un captcha accessible :

Si du contenu autre que du texte (par exemple des graphiques) est utilisé pour distinguer les utilisateurs humains des programmes informatiques, il convient de fournir une alternative textuelle pour expliquer l'objet du contenu non textuel.
Si la technologie captcha est utilisée, elle devrait être conçue de sorte qu'il existe des solutions alternatives qui tiennent compte des différentes formes de handicap.

Au-delà de ces exigences minimales, il est conseillé d'intégrer toujours les captchas dans un texte d'accompagnement explicatif. Les exploitants de sites Web qui utilisent des captchas comme moyen de prévention du spam devraient s'assurer que les internautes comprennent la façon dont ils peuvent s’identifier en tant qu'utilisateurs humains. Ceci inclut des instructions claires pour le test de Turing présentées sous forme de texte lisible par des machines et des champs de saisie correctement identifiés. Dans tous les cas, les utilisateurs devraient être en mesure de sauter les captchas illisibles et de répéter la vérification avec un nouveau captcha si leur proposition est incorrecte.

De plus, un captcha ne devrait jamais être la seule façon d'utiliser un site Web. Il est recommandé de toujours proposer aux utilisateurs la possibilité d'être admis sur un site Web en contactant l'administrateur ou le service client. Il est également recommandé de réduire au minimum l'utilisation des captchas. Si un utilisateur s'est déjà connecté avec succès au système, aucune autre vérification sous forme de captchas ne doit avoir lieu.

Existe-t-il des alternatives aux captchas ?

Même si les captchas sont omniprésents aujourd'hui, les procédures basées sur le test de Turing ne sont en aucun cas la seule façon de sécuriser un site Web interactif contre le spam. Dès 2005, le WAI a publié la Working Group Note 23. Avec Inaccessibility of CAPTCHA – Alternatives to Visual Turing Tests on the Web, le WAI a développé un catalogue de propositions pour la prévention du spam sans captcha. Au fil du temps, de nombreuses méthodes ont été mises au point pour identifier les requêtes ou les entrées automatiques :

Black lists : si une certaine source peut être identifiée pour des messages spam ou des requêtes automatisées en masse, les exploitants de sites Web ont la possibilité de bloquer toutes les interactions en provenance de cette adresse en les ajoutant à la black list, c’est-à-dire liste noire. Il s'agit d'une liste qui rassemble tous les serveurs ou adresses IP à bloquer pour de futures requêtes. Une telle liste noire peut être créée manuellement via .htaccess. Il existe également différents réseaux anti-spam et fournisseurs de services professionnels sur Internet qui offrent des listes noires centralisées et constamment mises à jour.
Honeypots : certains exploitants de sites Web exposent les candidats potentiels à la liste noire en envoyant des formulaires en ligne avec des pièges à spam. Ces dispositifs d’appât, qui signifient littéralement pot de miel, correspondent à des champs de saisie cachés aux internautes par CSS ou JavaScript. Les robots spammeurs simples ne lisent généralement que le code HTML d'un site Web et remplissent même des champs cachés avec du contenu généré automatiquement. Ceci indique donc clairement que la demande émane d’un robot et non d’un d'utilisateur humain.
Filtre de contenu : les filtres de contenu offrent un moyen de contrer le spam de commentaires sur les blogs, dans les boutiques en ligne ou les forums. Ils fonctionnent également avec les listes noires. Les exploitants de sites Web définissent ce que l'on appelle les hot words, des mots-clés qui apparaissent principalement dans les commentaires de spam afin d'identifier automatiquement les entrées suspectes comme étant générées par ordinateur. Cependant, si des filtres de contenu sont utilisés, il y a un risque accru que les contributions des utilisateurs humains soient également bloquées si ces mots-clés de la liste noire sont inclus.
Le filtrage côté serveur : sur la plupart des serveurs Web, le logiciel de filtrage est utilisé pour détecter les interactions visibles avec certaines zones d'un site Web, limitant ainsi les dommages causés par les robots spammeurs. Les filtres anti-spam s'appuient sur des analyses statiques, heuristiques et comportementales pour identifier les interactions suspectes basées sur des caractéristiques visibles et des modèles connus. Les analyses dans le cadre du filtrage des spams se réfèrent aux caractéristiques techniques de l'agent utilisateur. Par exemple, l'étendue des données, l'adresse IP, les méthodes de saisie des données utilisées, ainsi que les données de signature et les sites Web visités précédemment sont évalués. En outre, on peut utiliser des horodatages pour suivre le temps écoulé entre la remise d'un formulaire en ligne et la réception de la réponse. Contrairement aux utilisateurs humains, les robots spammeurs font preuve d’une vitesse considérable lorsqu'ils remplissent les champs de saisie.

Il existe une alternative courante au captcha classique, basée sur des analyses comportementales, provenant également de Google. Sous le nom de "No CAPTCHA reCaptcha", Google propose depuis 2013 un service de vérification humaine qui protège efficacement les sites interactifs contre les abus et dans la plupart des cas, sans captcha.

Au lieu de proposer aux utilisateurs une tâche basée sur des connexions visuelles, auditives ou logiques, le dernier reCAPTCHA de Google ne comporte qu'une simple case à cocher.

Le No CAPTCHA reCAPTCHA de Google ne comprend ni code, ni quiz en image, ni question mathématique.

Si un utilisateur coche la case "Je ne suis pas un robot", le logiciel vérifie en arrière-plan avec quelle probabilité il s'agit d'une saisie automatique. Google s'appuie sur une analyse avancée des risques. Les étapes de test de cet algorithme sont tenues secrètes par Google. Cependant, les caractéristiques suivantes sont discutées dans le réseau :

Les cookies ;
L’adresse IP ;
Les mouvements de souris dans la zone de la case à cocher ;
La durée.

Si le logiciel conclut que l'utilisateur est un être humain, celui-ci peut accéder à la page souhaitée. En revanche, si le résultat de l'analyse conclue à un risque élevé de spam, il est nécessaire d’avoir recours à un captcha. No captcha est donc une procédure de test préliminaire qui évalue si la vérification par le biais du Turing Test est nécessaire ou peut être ignorée. Ceci est pratique pour l'utilisateur en termes d'ergonomie, mais pose des problèmes de protection des données.

Les exploitants de sites Web qui utilisent le nouveau reCAPTCHA transmettent automatiquement les données de transaction Google à leurs utilisateurs. Les utilisateurs doivent donc être explicitement informés dans la déclaration de protection des données que des logiciels tiers sont utilisés dans le cadre de la prévention des spams.

Il est également frappant de constater que Google indique les conditions générales d'utilisation et une déclaration de confidentialité globale pour le nouveau reCAPTCHA. Ceci vaut également pour tous les autres services Google. Il n'est donc pas exclu que l'entreprise utilise également les données collectées au-delà de la prévention du spam pour optimiser ses propres services, par exemple dans le domaine de la publicité. Ce problème est abordé dans un article du magazine en ligne Business Insider.

En janvier 2017, la page d'accueil du projet reCaptcha de Google annonce, avec Invisible reCAPTCHA un développement du No CAPTCHA reCAPTCHA, qui fonctionne sans case à cocher.

Page d’accueil de Google reCAPTCHA — Avec le reCAPTCHA invisible, Google entend bannir le captcha classique des réseaux.

En théorie, le reCAPTCHA invisible fonctionne comme suit : lorsqu'un utilisateur remplit un formulaire en ligne, divers processus d'analyse se déroulent en arrière-plan. Toutefois, Google a jusqu'à présent gardé le silence au sujet de ces processus.