
Le CAPTCHA, cette case à cocher omniprésente demandant « Je ne suis pas un robot », est un pilier du web depuis deux décennies. Mais un nombre croissant de preuves suggère qu’il n’est plus adapté à son objectif. En 2024, des chercheurs de l’ETH Zurich ont atteint une précision de 100 % sur le reCAPTCHA v2 de Google à l’aide d’un modèle YOLOv8 modifié. En 2026, Ng Chong, directeur du Centre d’Informatique du Campus de l’UNU, a construit un outil commercial fonctionnant sur un simple ordinateur portable qui contourne reCAPTCHA v2, hCaptcha et Cloudflare Turnstile en deux à trois secondes sans déclencher la grille d’images.
« Lorsque le défi et la couche comportementale sont tous deux vaincus par des outils commerciaux fonctionnant sur un simple ordinateur portable, le principe fondamental du CAPTCHA cesse d’être valable », a déclaré Ng Chong.
La course aux armements
L’histoire du CAPTCHA a commencé en 1997, lorsqu’AltaVista a déployé des images de texte déformées pour bloquer les inscriptions automatisées, réduisant le spam d’environ 95 %. Au cours de la décennie suivante, les CAPTCHA textuels sont devenus progressivement plus difficiles tant pour les robots que pour les humains, jusqu’à ce que les modèles d’apprentissage profond atteignent une précision quasi parfaite sur toutes les variantes courantes d’ici 2018.
Google a réagi en décembre 2014 avec reCAPTCHA v2, la case à cocher familière « Je ne suis pas un robot » soutenue par une analyse comportementale (mouvements de souris, historique IP, empreintes de navigateur, cookies). Le véritable test était invisible ; la grille d’images était une solution de repli. En 2018 est arrivé reCAPTCHA v3, qui a supprimé complètement la case à cocher, renvoyant un score de 0,0 à 1,0 basé sur des signaux de fond.
Chaque avancée a rencontré une contre-mesure. L’apprentissage par renforcement a cassé reCAPTCHA v3 à 97 % en 2019. L’étude de l’ETH Zurich a prouvé que l’ensemble du pipeline reCAPTCHA v2, y compris la couche comportementale, pouvait être entièrement automatisé.
Où en sommes-nous
En 2026, le paysage des CAPTCHA comprend :
- reCAPTCHA v2, 100 % cassé (ETH Zurich, 2024 ; outillage commercial, 2026)
- reCAPTCHA v3, 60-80 % de taux de contournement
- hCaptcha, 70-90 % de taux de contournement
- Cloudflare Turnstile, 40-65 % de taux de contournement
- CAPTCHA audio, 85-95 % cassés
- Texte déformé, 100 % cassé
Les données industrielles du Merchant Risk Council rapportent des taux de contournement par l’IA de 99,8 % pour reCAPTCHA dans son ensemble.
Les incitations économiques sont claires : les API commerciales de résolution de CAPTCHA facturent 0,50 $ à 2 $ pour 1 000 résolutions. En 2025, les robots d’exploration pilotés par l’IA ont atteint 57,5 % de tout le trafic web, dépassant le trafic humain pour la première fois, selon Cloudflare Radar.
Au-delà des puzzles
L’industrie évolue vers une vérification invisible et sans friction. Cloudflare Turnstile utilise une preuve de travail cryptographique combinée à des vérifications d’environnement de navigateur, résolvant environ 90 % des chargements sans aucune interaction de l’utilisateur. Les Jetons d’Accès Privé d’Apple fournissent une attestation au niveau de l’appareil. L’IETF a normalisé Privacy Pass (RFC 9576-9578), un système de signature aveugle qui permet aux utilisateurs de résoudre un CAPTCHA pour obtenir plusieurs jetons anonymes.
L’approche la plus avant-gardiste est Web Bot Auth, un projet de l’IETF mené par Cloudflare qui donne aux robots une identité cryptographique. Les robots publient une clé publique à une URL bien connue, et chaque requête HTTP sortante porte une signature Ed25519. Google, OpenAI, AWS WAF et Vercel l’adoptent déjà.
« Puisque nous ne pouvons plus distinguer de manière fiable les humains des machines en testant la capacité à résoudre des puzzles, nous nous tournons vers la preuve d’identité et d’intention par des signaux cryptographiques et comportementaux », note l’article.
Ce qui subsiste
Pour l’instant, les CAPTCHA persistent car ils sont simples, bon marché et représentent le statu quo. Mais une étude de 2023 de l’UC Irvine a révélé que les humains perdent collectivement 819 millions d’heures par an à les résoudre, représentant 6,1 milliards de dollars de valeur de travail perdue. Et ils sont activement discriminatoires : les utilisateurs malvoyants font face à des barrières d’accessibilité persistantes.
L’ère du CAPTCHA basé sur les puzzles touche à sa fin. À sa place se trouve une couche de vérification plus silencieuse et invisible, et une course aux armements qui est passée de l’écran de l’utilisateur à l’infrastructure qui le sous-tend.
Traduit par Lydie

