À l’approche des jeux olympiques de Paris, plus de 4 milliards de cyberattaques sont attendues, soit 10 fois plus que durant les derniers JO de Tokyo. Dans ce contexte, il est crucial pour les entreprises de déterminer si l'utilisateur d'un site web ou d'une application est un humain ou un bot, et ce pour de multiples raisons. Notamment, cela permet de se protéger contre les cyberattaques DDoS, le scalping de billets et le scraping de données sans autorisation préalable.
À l'origine, les CAPTCHA visuels affichaient des images déformées illisibles pour les bots, ou utilisaient des équations mathématiques simples perturbant les algorithmes automatisés. Cependant, les cybercriminels d’aujourd’hui ont développé des méthodes plus sophistiquées pour déjouer les CAPTCHA traditionnels, en utilisant notamment une combinaison d’intelligence artificielle et d’intervention humaine.
Dans ce processus, un bot utilise l'IA pour reconnaître automatiquement les images ou les sons et, s'il échoue à ce test, il transfère la tâche à une ferme CAPTCHA, où des humains résolvent le test à sa place.
Un monde où les sites web ne parviennent pas à détecter efficacement les utilisateurs authentiques représente des risques considérables pour les entreprises et les consommateurs. Le nombre croissant d'attaques DDoS l’année dernière illustre parfaitement les conséquences inquiétantes d'une telle situation.
C'est pourquoi les entreprises doivent urgemment réévaluer les types de défis qu'elles présentent aux visiteurs suspects pour garantir la sécurité de leurs opérations en ligne.
Un enjeu essentiel de sécurité pour les entreprises comme pour les consommateurs
Les CAPTCHAs traditionnels sont facilement contournés par des bots, car ils n'ont jamais été associés à une logique de sécurité adaptée aux menaces sophistiquées et évolutives.Certains ont renforcé l'approche de sécurité basée sur les CAPTCHA, suggérant que la seule solution pour contourner ce problème est de créer des CAPTCHA de plus en plus difficiles. Cependant, cette évolution rend le processus d’authentification de plus en plus contraignant et frustrant pour les internautes et onéreux pour les entreprises.
Ceci pose un véritable problème car les entreprises ont tout intérêt à offrir une expérience utilisateur transparente et agréable si elles ne souhaitent pas nuire à leurs résultats financiers. Une étude de Stanford a révélé que l'inclusion de CAPTCHAs dans un formulaire réduisait les conversions de ventes jusqu'à 40 %, en détournant des acheteurs potentiels avec des processus frustrants.
Cette situation est particulièrement vraie pour les utilisateurs souffrant de déficiences visuelles, de dyslexie, de dyspraxie et d'autres handicaps, qui trouvent de nombreux CAPTCHA difficiles à réaliser, surtout dans un contexte où ils deviennent de plus en plus complexes.
Cela dit, la perception des CAPTCHA par les consommateurs est nuancée. Une étude de Forrester démontre que, bien que les consommateurs ressentent de la frustration face aux CAPTCHA, ils se sentent également plus en sécurité en voyant ces tests. Il est donc intéressant pour les entreprises de réfléchir à la manière dont ces processus de sécurité affectent l'expérience utilisateur sur leurs sites web.
Pour une entreprise réalisant des milliers, voire des millions, de transactions en ligne chaque jour, ces petits désagréments qui contrarient un client potentiel peuvent s'accumuler de manière significative, menant à un mécontentement de leur part et à une baisse des chiffres de vente.
Les défis invisibles : une alternative aux CAPTCHAs
Il faudrait donc repenser le modèle traditionnel des CAPTCHA, qui ne se sont révélés ni efficaces sur le plan de la sécurité, ni optimaux pour l'expérience client. La bonne nouvelle, c'est qu’il n’est pas nécessaire d'imaginer ce scénario ; il existe déjà. Grâce aux « défis invisibles », un site web ou une application peut distinguer un bot d’un humain avec une précision étonnante, ce qui réduit considérablement la nécessité de confronter les utilisateurs à un CAPTCHA visuel.Qu'il s'agisse de bloquer les bots de scraping ou d'identifier le trafic frauduleux, les défis invisibles constituent un outil puissant. En collectant des milliers de signaux en arrière-plan, tels que ceux liés à l'appareil de l'utilisateur (comme les empreintes digitales du navigateur et de l’appareil), ou en détectant les proxys utilisés par les fraudeurs, les défis invisibles garantissent la sécurité en ligne tout en offrant une expérience optimale et transparente pour l'utilisateur.
La nature « invisible » de ces défis rend leur appréhension beaucoup plus difficile pour les bots, car le code opère en coulisses et ne présente pas aux bots un test évident sur lequel ils pourraient effectuer des tests A/B. Cela redonne en fin de compte l'avantage aux entreprises en ligne.
Bien que ces défis n'éliminent pas complètement le besoin de CAPTCHA, ils peuvent être combinés avec de nouvelles techniques de CAPTCHA qui sont beaucoup moins frustrantes et chronophages pour les utilisateurs. Une telle approche permet aux entreprises de conserver des options flexibles en cas de comportement suspect ou malveillant.
Plutôt que de choisir l'un ou l'autre, les entreprises peuvent s'armer contre les bots en combinant des défis invisibles et des CAPTCHA, ce qui élimine la nécessité d'un test manuel dans presque tous les cas, tout en conservant une dernière ligne de défense plus agréable pour l'utilisateur. Au lieu de faire peser la charge de la sécurité sur le client, cette méthode favorise une expérience sans friction tout en améliorant la sécurité et les revenus des entreprises.
Par Antoine Vastel, VP of Research chez DataDome
