reCAPTCHA : 819 millions d'heures humaines perdues et des milliards de dollars de profits pour Google

Selon une étude qui le désigne comme un outil de traçage

Depuis son acquisition par Google en 2009, le système reCAPTCHA est devenu un élément incontournable du web. Ce petit test, censé distinguer les humains des robots, est aujourd’hui présent sur des millions de sites. Pourtant, derrière son apparence anodine, se cache un immense gaspillage de temps humain et une manne financière colossale pour Google. Une étude réalisée en 2023 par l'université d'Irvine, intitulée « Dazed and Confused : A Large-Scale Real-World User Study of reCAPTCHAv2 » a conclu que non seulement les CAPTCHA sont inefficaces pour empêcher le trafic de robots, mais qu'ils posent des problèmes de protection de la vie privée en raison des cookies de suivi, qu'ils ont fait perdre des millions d'heures de notre temps collectif et qu'ils ont généré près de mille milliards de dollars de données pour Google.

CAPTCHA (acronyme anglais de Completely Automated Public Turing test to tell Computers and Humans Apart) est une famille de tests de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur. Ce test de défi-réponse est utilisé en informatique pour vérifier que l'utilisateur n'est pas un robot. Ainsi, à l'origine, les CAPTCHA servaient à protéger les sites web contre les attaques automatisées. Ils ont évolué avec reCAPTCHA, qui a transformé les utilisateurs en travailleurs invisibles au service de Google.

Le reCaptcha est un système qui utilise des techniques d’analyse des risques avancées pour distinguer les humains des robots. Le reCAPTCHA n'a cessé d'évoluer au cours de la dernière décennie. Dans reCAPTCHA v1, il était demandé à chaque utilisateur de relever un défi en lisant un texte déformé et en le saisissant dans une zone. Pour améliorer à la fois l'expérience utilisateur et la sécurité, Google a proposé reCAPTCHA v2 et commencé à utiliser de nombreux autres signaux pour déterminer si une requête provenait d'un humain ou d'un robot. Cela a permis aux défis reCAPTCHA de passer d'un rôle dominant à un rôle secondaire dans la détection des abus, laissant environ la moitié des utilisateurs passer en un clic.

Puis, dans reCAPTCHA v3, Google a modifié fondamentalement la façon dont les sites peuvent déterminer si les activités sont menées par des humains ou des robots en renvoyant un score pour vous indiquer à quel point une interaction est suspecte et en éliminant le besoin d'interrompre les utilisateurs avec un défi. reCAPTCHA v3 exécute une analyse de risque adaptative en tâche de fond pour vous alerter des trafics suspects tout en permettant à vos utilisateurs de profiter d'une expérience sans friction sur votre site.

En 2025, reCAPTCHA est facilement vaincu par les robots. Pourtant, Google continue de le proposer parce que reCAPTCHA est devenu un outil de suivi qui collecte des données sur les utilisateurs et génère des milliards de revenus pour Google, selon Chuppl : « Re-captcha prend l'empreinte pixel par pixel de votre navigateur, une carte en temps réel de tout ce que vous faites sur l'internet ».


Un outil de traçage selon une étude

L'article, coécrit par Andrew Searles, ancien chercheur en sécurité informatique à l'université d'Irvine, révèle que le système CAPTCHA de Google, largement utilisé, est principalement un mécanisme de suivi du comportement des utilisateurs et de collecte de données, tout en offrant peu de sécurité réelle contre les robots. L'étude a révélé que reCAPTCHA surveille de manière intensive les cookies, l'historique de navigation et l'environnement du navigateur (y compris le rendu de Canvas, la résolution de l'écran, les mouvements de la souris et les données de l'agent utilisateur) des utilisateurs, qui peuvent tous être utilisés à des fins de publicité et de suivi.

L'étude se concentre sur les deux formes les plus courantes de CAPTCHA que vous trouverez dans la nature grâce à reCAPTCHAv2 de Google : Les CAPTCHA « invisibles » ou basés sur le comportement, qui analysent vos entrées lorsque vous cochez la case « pas un robot » ou même subrepticement lorsque vous naviguez sur un site web, et les CAPTCHA basés sur l'image, où vous sélectionnez toutes les motos, les feux de circulation ou autres dans des images provenant de Google Street View. Les deux sont précieux pour Google, les cookies de suivi générés par le premier pouvant contribuer au ciblage publicitaire, et les données du second pouvant être utilisées pour la formation de modèles d'intelligence artificielle, soit en interne chez Google, soit vendues à une autre entreprise.

Les participants n'ont pas été informé et le reCAPTCHAv2 de Google a été ajouté aux fonctions de création de compte et de récupération de mot de passe d'un système de compte étudiant interne à l'université.

Les chercheurs ont mesuré le temps nécessaire pour compléter les CAPTCHA et interrogé un sous-ensemble des 3 600 utilisateurs de l'étude de 13 mois sur leur expérience. Comme on pouvait s'y attendre, ils ont mis plus de temps et ont donné des résultats négatifs lorsqu'il s'agissait des CAPTCHA de détection d'images plus complexes. L'étude a également noté des variations dans le temps de réalisation selon les disciplines d'enseignement, le niveau d'expérience et selon qu'ils créaient ou récupéraient un compte.


Les chercheurs ont pris le temps moyen de réalisation de 3,53 secondes pour les CAPTCHA d'image...