CAPTCHA et sobriété numérique 

Reading Time: 3 minutes

La sécurité est une partie essentielle du numérique responsable. Il n’est pas rare de se demander comment protéger son site, en particulier lorsque l’on laisse la possibilité d’envoyer du contenu depuis son site web : formulaire (en particulier de contact), commentaires, etc. Et lorsque l’on sait qu’une bonne partie de l’activité sur le web n’est pas due à des humains (How much of the internet is fake?). Personne n’a envie de subir une injection ou autre acte malveillant via son site. 

A la fin des années 90, une solution miracle est apparue sous la forme du CAPTCHA. Aujourd’hui, on trouve ce composant un peu partout. Il peut s’agir de recopier des caractères difficilement lisibles, de cliquer sur des photos contenant différents éléments ou de cliquer sur une case afin de prouver que l’on n’est pas un robot.  

Mais qu’en est-il de son impact environnemental ? Comment le concilier avec la sobriété numérique ? C’est ce que nous allons voir ici! 

A la recherche de la meilleure solution 

Le CAPTCHA répond au besoin de sécuriser les données soumises par des internautes sur votre site. 

Le problème est que cette façon de faire, entre autres avec reCAPTCHA, est souvent laborieuse pour les utilisateurs. L’impact environnemental du service numérique est alors accru par le simple fait que le parcours utilisateur se retrouve allongé, quand il n’aboutit pas carrément à un abandon. En particulier pour les utilisateurs en situation de handicap qui pourraient se retrouver dans l’impossibilité de mener la tâche à leur terme. Sans compter les requêtes supplémentaires (CSS, JS et autres iframes) nécessaires à l’intégration de ce type de composant dans une page.  

Ainsi (et c’est là un point essentiel du numérique responsable), la recherche du CAPTCHA le plus sobre tient d’abord compte de l’accessibilité.  

L’accessibilité des CAPTCHA est un problème récurrent et les solutions sont nombreuses. Le principal mot d’ordre ici est de ne pas utiliser de CAPTCHA. Ainsi, le poids de la sécurisation des formulaires ne doit plus reposer sur les utilisateurs. Le sujet a été précédemment discuté, entre autres chez Orange.  

Il en ressort plusieurs possibilités :  

  • Repérer le temps de saisie pour exclure les saisies trop rapides 
  • Utiliser un filtre (expression régulière ou autre) pour repérer les réponses suspectes 
  • Ajouter de façon aléatoire une question à laquelle un bot ne saura pas forcément répondre (“Quel animal aboie ?”, “Combien font un plus un ?”, “Combien de d dans pudding ?”, etc). En laissant la possibilité de rafraîchir la question en cas de difficulté pour l’utilisateur. 
  • Le honeypot (sur lequel nous allons revenir) 

Au final, c’est la solution du honeypot qui semble la plus adéquate dans la plupart des cas. Détaillée par ailleurs sur un site du gouvernement canadien, elle consiste à ajouter un champ caché dans le formulaire concerné. Ce champ doit être défini de façon à être rempli seulement par les bots. Pour cela, il est caché aux utilisateurs et technologies d’assistance, tout en donnant dans le code des éléments laissant penser aux bots qu’il s’agit d’un champ obligatoire. Ainsi, à la validation du formulaire, on sait qu’une réponse au formulaire avec ce champ renseigné ne devra pas être prise en compte. Le honeypot peut demander un peu de réflexion pour une mise en place sans faille mais elle reste très légère et surtout élégante car elle se recentre sur le besoin d’origine : empêcher des bots d’envoyer des informations via un service numérique. Plutôt que d’impacter l’utilisateur afin de s’assurer qu’il n’est pas un robot, on laisse intact le parcours utilisateur pour se focaliser sur la détection des bots.

Conclusion 

L’exemple du CAPTCHA s’avère représentatif d’une approche par le numérique responsable. Dans le but d’améliorer la sécurité d’un service numérique, on s’intéresse d’abord à l’accessibilité des solutions possibles (la solution gratuite et largement répandue n’étant là encore pas forcément la meilleure) pour enfin s’assurer via la sobriété numérique que la solution retenue ne dégrade pas l’impact environnemental du service.