Les CAPTCHA, ces tests automatisés publics de Turing pour distinguer les ordinateurs des humains, sont devenus un élément courant sur le Web. Conçus pour empêcher les spambots de polluer les sites avec du contenu indésirable, ils représentent une solution rapide au problème croissant du spam. Cependant, les CAPTCHA ne sont pas sans conséquences négatives, notamment en ce qui concerne l’expérience utilisateur et les conversions.Vous avez certainement essayé d'accéder à certains sites Web et avez été bombardé d'une série d'énigmes vous obligeant à identifier correctement les feux de circulation, les bus ou les passages pour piétons pour prouver que vous êtes bien humain avant de vous connecter.
Completely Automated Public Turing test to tell Computers and Humans Apart (littéralement Test de Turing public entièrement automatisé pour différencier les ordinateurs des humains), mieux connu sous l'acronyme CAPTCHA, est une technologie destinée à protéger un site Web contre la fraude et les abus sans créer de friction. Les puzzles sont destinés à garantir que seuls les utilisateurs valides peuvent accéder au site et non les invasions automatisées.
La mesure de défense contre les robots remonte aux années 1990 et l'acronyme à 2003, la technologie commençant par une série déformée de lettres ou de chiffres.
En quoi les CAPTCHA sont une nuisance ?
Le spam est mauvais, mais les CAPTCHA ne sont pas mieux
Avec l’essor rapide du Web à la fin du siècle dernier, le spam est devenu un cauchemar pour de nombreux sites. Les webmasters ont cherché désespérément une solution au problème du spam, et les CAPTCHA sont apparus comme une réponse rapide. Cependant, il s’est rapidement avéré que les spambots, et leurs créateurs, n’étaient pas aussi simples à tromper qu’on le pensait, et ils ont vite trouvé des moyens de contourner les CAPTCHA. Malgré cela, les CAPTCHA continuent de filtrer une partie du spam, ce qui justifie leur utilisation continue.
Les CAPTCHA sont un obstacle pour les visiteurs légitimes
Les CAPTCHA ne bloquent pas seulement les spambots, mais constituent également un obstacle pour les visiteurs humains légitimes. Pire encore, ils empêchent les robots des moteurs de recherche d’accéder au contenu protégé par CAPTCHA. Si un contenu n’est accessible qu’après la saisie correcte d’un CAPTCHA, il est évident que ce contenu est hors de portée pour les moteurs de recherche, qui ne se donnent pas la peine de remplir des CAPTCHA et passent simplement au site suivant plus accueillant.
Les CAPTCHA et la perte de données
Dans le pire des cas, les CAPTCHA mal implémentés peuvent entraîner une perte de données. Imaginez un CAPTCHA presque illisible ou un formulaire qui efface toutes les données saisies après une erreur de CAPTCHA, obligeant l’utilisateur frustré à recommencer à zéro. Combien d’utilisateurs prendront la peine de remplir à nouveau le formulaire pour effectuer un achat, par exemple ?
Les CAPTCHA nuisent aux conversions
Les CAPTCHA sont problématiques du point de vue de l’ergonomie et, comme mentionné précédemment, s’ils empêchent les moteurs de recherche d’indexer des pages protégées par CAPTCHA, ils sont également préjudiciables pour le référencement. Cependant, le véritable dommage survient lorsque l’on considère les conversions. Les CAPTCHA tuent littéralement les conversions, ce qui est probablement leur plus grand inconvénient en termes de référencement.
Les conversions perdues sont plus préjudiciables que le spam. Le spam peut être irritant, mais il ne tue pas votre entreprise de la même manière que le manque de conversions. Bien que les résultats varient d’un site à l’autre, l’activation des CAPTCHA peut considérablement réduire les conversions. Par exemple, un CAPTCHA sur un formulaire d’inscription à une newsletter pourrait réduire de moitié le nombre d’abonnés, car de nombreux utilisateurs ne prendront même pas la peine de tenter leur chance avec le CAPTCHA. Sur un site de commerce électronique, un CAPTCHA pourrait vous épargner quelques fausses commandes, mais le nombre de clients frustrés sera bien plus élevé.
Les CAPTCHA difficiles et illisibles
En général, plus un CAPTCHA est difficile et illisible, plus la baisse des conversions est importante. Si vous en doutez, expérimentez sur votre site avec des CAPTCHA de difficultés variables et notez les résultats.
Les CAPTCHA standards qui demandent à l’utilisateur de saisir des lettres et des chiffres sont les plus acceptables de tous, mais ils restent un obstacle conséquent. Les CAPTCHA audio et vidéo sont particulièrement problématiques, car ils peuvent nécessiter jusqu’à une minute du temps de vos utilisateurs pour écouter ou regarder et remplir. Il n’est donc pas surprenant que les CAPTCHA audio et vidéo soient ceux qui ont les taux d’abandon les plus élevés.
Les alternatives aux CAPTCHA traditionnels
Avec l’avancée des techniques d’intelligence artificielle et d’apprentissage automatique, les bots sont devenus capables de contourner ces tests avec une facilité déconcertante. Certains bots utilisent par exemple la reconnaissance optique de caractères (OCR) pour lire les lettres ou les chiffres déformés, ou la reconnaissance d’images pour identifier les objets demandés. D’autres bots exploitent les failles ou les erreurs des CAPTCHA pour les invalider ou les ignorer.
Face à cette situation, certains sites web ont opté pour des solutions alternatives aux CAPTCHA, comme par exemple le service reCAPTCHA de Google, qui analyse le comportement des utilisateurs en arrière-plan et ne demande un test que si le risque est élevé. D’autres sites web ont renoncé aux CAPTCHA et ont mis en place d’autres mesures de sécurité, comme par exemple la vérification par e-mail ou par SMS.
Quoiqu'il en soit, il existe plusieurs alternatives aux CAPTCHA traditionnels qui peuvent améliorer l’expérience utilisateur tout en protégeant les sites Web contre les spambots. Voici quelques-unes des options les plus intéressantes :
- Motion CAPTCHA : Au lieu de saisir des lettres ou des chiffres, l’utilisateur est invité à reproduire un dessin simple, comme un triangle ou une étoile.
- Are you a human : Ce système utilise le principe du cliquer-glisser dans un petit jeu, comme placer des formes dans les cases ou marquer un panier de basket.
- Ajax Fancy CAPTCHA : Une autre alternative ludique où l’utilisateur doit placer une forme désignée dans un cercle.
- Picatcha : L’utilisateur doit sélectionner les bons éléments parmi plusieurs options présentées, comme des codes-barres ou des jumelles.
- Solve Media : Combine la publicité avec les CAPTCHA, où l’utilisateur doit saisir un message lié à une publicité.
- Le pot de miel (Honeypot) : Un champ caché est ajouté au formulaire. Si ce champ est rempli lors de la soumission, cela indique qu’il s’agit d’un bot.
- Akismet : Un plugin pour WordPress qui identifie automatiquement les commentaires douteux et les place dans le dossier indésirable.
Ces alternatives cherchent à réduire la frustration des utilisateurs tout en offrant une protection efficace contre les spambots. Elles peuvent être particulièrement utiles pour les sites qui souhaitent maintenir une bonne expérience utilisateur sans compromettre la sécurité.
Faut-il abandonner les CAPTCHA ? L'analyse du cabinet Gartner
« Revenons donc à l'essentiel : pourquoi certaines entreprises aiment-elles utiliser les CAPTCHA ? Eh bien, la logique est simple. Si votre solution de détection de bot pense que l'utilisateur est un bot, vous pouvez bloquer cet utilisateur. Mais aucune solution n'est parfaite, et si l'utilisateur n'est pas un bot ? Alors vous venez de bloquer un bon utilisateur. Et donc le CAPTCHA représente une opportunité, il représente l'espoir, que s'il s'agit réellement d'un bon utilisateur, alors ils peuvent le prouver en résolvant le CAPTCHA et continuer leur chemin.
« Alors pourquoi certaines entreprises détestent-elles les CAPTCHA ? Eh bien, le taux de résolution des (bons) humains sur les CAPTCHA peut parfois être assez faible, ce qui empêche les bons utilisateurs de continuer. De plus, pour les bons utilisateurs qui résolvent le CAPTCHA, c'est souvent un ajout ennuyeux à l'expérience utilisateur. Et les taux de résolution des mauvais acteurs sur les CAPTCHA peuvent parfois être assez élevés, bien que ce soit un point nuancé, car dans certains cas oui peut-être que les bots ont été formés pour résoudre les CAPTCHA, mais dans d'autres cas les bots cèdent la session à un humain pour résoudre le CAPTCHA – il existe une industrie florissante de services de résolution de CAPTCHA alimentés par l'homme – généralement, les personnes vivant dans des environnements à faible revenu reçoivent une somme dérisoire par CAPTCHA, en résolvant des milliers d'entre eux chaque jour ».
Alors faut-il ou non utiliser un CAPTCHA ?
« Je pense que oui. N'utilisez tout simplement pas la version Google "choisissez un panneau de signalisation dans cette matrice d'images" d'un CAPTCHA. Il existe de nombreux CAPTCHA beaucoup plus évolués disponibles aujourd'hui, comme Arkose Labs, GeeTest ou PerimeterX, qui ont leurs propres approches et nuances, mais font toujours un meilleur travail que la redoutable matrice d'images de trafic. Compte tenu de la pression pour réduire les faux positifs sur la plupart des entreprises de commerce numérique, donner aux utilisateurs une chance de prouver qu'ils sont humains et pas seulement les bloquer vaut la peine d'être exploré. Dans un monde où les mauvais acteurs utilisent des humains pour augmenter les robots, cependant, vous avez besoin d'un CAPTCHA suffisamment intelligent pour détecter quand les humains qui le résolvent sont un peu trop rapides – peut-être un signe qu'ils passent leur journée à résoudre ces choses encore et encore. Lorsque cela est détecté, le CAPTCHA devrait être rendu dynamiquement plus difficile pour décourager une telle activité et la rendre économiquement non viable. L'utilisation d'un CAPTCHA force également l'interaction avec l'utilisateur de manière contrôlée, permettant d'obtenir plus de télémétrie sur l'utilisateur et son niveau d'humanité.
« N'utilisez pas CAPTCHA par défaut pour toutes les sessions. Comptez sur votre fournisseur de détection de bots pour repérer et bloquer la majeure partie du trafic de bots, et déployez simplement des CAPTCHA dans les véritables cas de zone grise où vous n'êtes pas sûr de l'humanité – je m'attendrais à ce que ce soit moins de 5 % de toutes les sessions avec certitude.
« Et effectuez des tests A/B, divisez votre trafic et utilisez un CAPTCHA sur un seul segment et comparez les résultats – prenez des décisions basées sur des données et des mesures réelles, et non sur des idées préconçues basées sur des approches obsolètes telles que la matrice d'image du trafic.
« Dernière mise à part intéressante, Amazon a déposé un brevet en 2017 pour un nouveau type de CAPTCHA qui est facile à résoudre pour les machines, mais présente un défi visuel que les humains se tromperaient généralement – et donc le processus est subverti – la faillibilité humaine peut en fait être l'avenir lorsqu'il s'agit de vaincre les bots ».
Conclusion
Bien que les CAPTCHA aient été conçus pour lutter contre le spam, leur impact sur l’expérience utilisateur et les conversions peut être dévastateur. Il est essentiel pour les webmasters de trouver un équilibre entre la protection contre le spam et la facilité d’utilisation pour maximiser les conversions et l’engagement des utilisateurs.
Source : Gartner
Et vous ?
Quelle a été votre expérience la plus frustrante avec un CAPTCHA et comment cela a-t-il influencé votre perception de la sécurité sur le Web ? Pensez-vous que les CAPTCHA soient un mal nécessaire pour la sécurité en ligne ou existe-t-il des alternatives plus conviviales ? Avez-vous déjà abandonné un achat ou une inscription en ligne à cause d’un CAPTCHA difficile à déchiffrer ? Comment les CAPTCHA ont-ils affecté le taux de conversion sur votre propre site Web ou ceux que vous fréquentez ? Quelles solutions innovantes pourriez-vous suggérer pour équilibrer la nécessité de sécurité et une bonne expérience utilisateur ? Les CAPTCHA audio et vidéo sont-ils vraiment la solution pour les utilisateurs ayant des déficiences visuelles, ou représentent-ils un autre obstacle ? Comment les développeurs et les concepteurs Web peuvent-ils mieux prendre en compte les besoins des utilisateurs tout en protégeant leurs sites contre les spambots ? 
