CAPTCHAS et UX : un équilibre fragile

Publié le 30/11/2022

Partager sur :

Les Captchas sont conçus pour protéger les sites Web contre les bots (robots nuisibles). Ils consistent, le plus souvent, à saisir une série de lettres et/ou de chiffres représentés de manière déformée sur une image. Utilisés correctement, ils constituent une défense efficace contre le SPAM et les automates informatiques. Mais les Captchas ont évolué et sont devenus si sophistiqués que leurs tests peuvent parfois bloquer les utilisateurs. Prouver que nous ne sommes pas un robot n’est plus toujours chose facile.

N’avez-vous jamais failli ?

Les Captchas ont cependant un coût en termes d’expérience utilisateur (UX) et d’accessibilité. Nous étudierons ici leurs évolutions, leurs contraintes, les améliorations possibles et enfin, nous donnerons des exemples qui témoignent, parfois, de leur côté déroutant.

Origine et évolutions des Captchas

Captcha, terme anglophone, signifie « Completely Automated Public Turing test to tell Computers and Humans Apart ». Ce nom fait référence à Alan Turing, mathématicien anglais pionnier de l’intelligence artificielle dans les années 1940-1950, à qui l’on doit la première version du test éponyme. Cet acronyme, en lien avec le test de Turing, est une méthode permettant de déterminer si un ordinateur est capable d’imiter les réponses d’un être humain dans des circonstances données.

Si un test n’arrive pas systématiquement à déterminer si l’utilisateur est un humain ou une machine, alors on considère le test « réussi » par l’ordinateur.

Le Captcha a été créé au début des années 2000 pour lutter contre l’épidémie de bots qui polluaient les premiers moteurs de recherche. Historiquement, les chercheurs de l’Université Carnegie Mellon ont été les premiers à l’utiliser.

Le Captcha « originel » prenait l’apparence d’un texte déformé que les ordinateurs pouvaient déchiffrer tout en restant lisible pour les êtres humains. Il était présenté à tous les utilisateurs de la page Web (pas seulement aux utilisateurs potentiellement frauduleux). La présence d’une case à cocher ou d’un bouton permettait aux premiers utilisateurs de prouver leur « humanité ».

Au fur et à mesure, les développeurs de Captcha ont réalisé qu’ils pouvaient transformer leur technologie pour éviter cette approche simpliste de retranscription d’un texte, déformé et sans signification, par les utilisateurs. Cela a donné naissance à reCAPTCHA : méthode qui déforme des mots numérisés à partir des archives du New York Times. Selon eux, les ordinateurs n’étaient pas aussi performants lorsqu’il était question de déchiffrer des mots sur papiers journaux.

En 2009, Google rachète reCAPTCHA
En 2013, Google introduit une version de reconnaissance d’image Captcha en utilisant des photos provenant de « Google Street View ».
En 2014, un des algorithmes d’apprentissage automatique de Google avait un taux de réussite de 66% supérieur à celui des humains dans la résolution des Captchas ; d’où la nécessité d’une nouvelle évolution de ces derniers.

Plus tard, Google introduira No CAPTCHA reCAPTCHA : « uses an advanced risk analysis engine and adaptive challenges to keep malicious software from engaging in abusive activities on your website ».

D’autres types de Captchas ont proliféré au cours de ces dernières années tels que des problèmes de mathématiques, des schémas à résoudre, des petites énigmes à solutionner, etc. Cette multiplicité est primordiale car elle permet de maintenir en vie la technologie ainsi que accroître sa sécurité. En effet, l’essor des formes de captcha rend la tâche beaucoup plus compliquée aux bots malveillants qui souhaitent accéder aux sites web : il leur faudra une plus grande détermination pour parer à toutes les formes existantes.

Accessibilité et contraintes

Bien qu’utile et sécurisante, la technologie Captcha n’est pas sans défaut et peut être contraignante, voire clivante pour certains types d’utilisateurs.

Par exemple, les personnes malvoyantes peuvent témoigner de ce problème d’accessibilité. En effet, lire ces caractères déformés à l’écran peut relever du défi et donc leur bloquer l’accès à un site internet car il leur est impossible de les résoudre. C’est pourquoi la fonctionnalité de « captcha audio » a été ajoutée. C’est cependant un test de Turing inversé car il discrimine l’utilisateur en tant qu’humain : l’utilisateur tente de convaincre un ordinateur qu’il n’est pas un ordinateur.

Autre point contraignant : la complexification des Captchas. Les solutions, pour lutter contre les bots, ont évolué et se sont transformées pour toujours être en avance sur les tentatives malveillantes. Cela a rendu la résolution des Captchas plus compliquée et donc plus chronophage et fastidieuse pour les utilisateurs. Quel est le prix à payer en termes d’UX (expérience utilisateur) pour la sécurité au détriment de l’accessibilité ? Une étude de 2016 a montré que les défis basés sur du texte (ayant les résultats les plus bas) étaient plus frustrants pour les utilisateurs que les tests mathématiques. La conclusion de cette expérience fut « none of the existing tests are ideal ».

Enfin, il est nécessaire de maîtriser l’expérience « Captcha ». Elle est positive seulement si elle n’impacte pas l’UX, si elle est sécurisante et enfin, si elle n’est pas perçue comme un « spam » ou trop sophistiquée. Dans l’exemple précédant (figure 4.), la complexité ruine complètement l’expérience utilisateur et peut altérer la fréquentation d’un site internet. Cependant, il n’y pas un type universel de Captcha qui fonctionne dans tous les cas.

Jason Polakis, professeur au département d’informatique de l’université de l’Illinois à Chicago, décrit le type de captcha idéal comme suivant : « You need some type of challenge that works with someone from Greece, someone from Chicago, someone from South Africa, Iran, and Australia at the same time. And it has to be independent of cultural intricacies and differences. You need something that’s easy for an average human, it shouldn’t be bound to a specific subgroup of people, and it should be hard for computers at the same time. That’s very limiting in what you can actually do. ».

Améliorer l’expérience utilisateur avec les Captchas.

Malgré leur énorme potentiel, nous avons vu que les Captchas possèdent bons nombres de défauts pour les utilisateurs et ce, même sans déficience particulière. C’est incontestablement un outil de lutte important contre les bots sur internet. La clé serait donc de l’ « infliger » uniquement aux utilisateurs au comportement suspect qui pourraient s’apparenter à des bots malveillants.

Voici quelques exemples pour différencier l’humain du bot, même si certains dépassent le domaine du Captcha traditionnel :

Authentification continue qui recherche des indices physiques dans les interactions utilisateurs avec les pages web (vitesse de remplissage surhumaine de formulaires web, mouvements de curseur suspects ou trop précis, etc.)
Méthode du pot de miel (« honeypot ») : Captchas dissimulés dans les pages web et invisibles pour les utilisateurs humains pour inciter les bots à les remplir.
Utilisation de réseaux sociaux ou fournisseur d’identité de confiance pour se connecter et ainsi restreindre uniquement l’utilisation des sites web à de véritables personnes.
Méthode du « test de Turing par l’échec » : présenter aux utilisateurs des tests face auxquels les humains auraient tendance à faire des erreurs alors que des machines les résolvent sans problèmes.
Utilisation de la fonction de détection bot « Auth0 » qui examine chaque adresse IP interagissant avec un site web pour déterminer la probabilité qu’il s’agisse d’un bot.

Expérience personnelle d’un blocage par un site web

Pour exemple, le site Darty m’a récemment bloqué. Ma navigation sur mobile a été jugée suspecte : j’ai donc été redirigé vers une page dédiée pour m’en informer.

J’ai donc poursuivi la procédure pour accéder au site. L’expérience proposée est simple et compréhensible : terminer un puzzle. Ce n’est donc pas contraignant pour les utilisateurs qui se retrouvent bloqués. On notera la présence d’autres pièces de puzzle dessinés sur l’image pour tromper les bots malveillants qui tenteraient de résoudre l’expérience en la complexifiant.

Ensuite, pour l’expérience et pour mon article, je me suis comporté volontairement comme un bot pour observer ce qui allait se passer.

Sans surprise, je fus, quelques secondes plus tard, bloqué pour la deuxième fois. Cette fois-ci, pas de Captcha pour pouvoir m’en sortir. À ce stade, la seule issue est de contacter directement le support pour demander un déblocage manuel.

Il existe donc des systèmes de Captcha efficaces et esthétiques, qui renforcent drastiquement la sécurité et qui ne représentent pas une barrière infranchissable pour les utilisateurs.

C’est donc un bon exemple de Captcha en adéquation avec l’expérience utilisateur.

Les captchas ne riment pas toujours avec UX

Contrairement à mon exemple précédent, il existe des Captchas qui vont vous donner du fil à retordre. Certains sont frustrants, accablants, anarchiques et/ou de piètre qualité. Il n’y a pas de limitation à leur dimension inesthétique. Ils représentent, la plupart du temps, des feux de signalisation routiers, des escaliers, des bus ou encore des passages piétons. En somme, des rues et des paysages anomiques des Etats-Unis profondément déprimants.

Il est particulièrement fastidieux de devoir identifier plusieurs fois des objets dans des situations alambiquées.

Qu’est-ce qui les rend aussi déstabilisants ?

Les images Captchas représentent souvent le monde extérieur dépourvu d’individus. Cela est probablement dû à des raisons de confidentialités mais cela leur donne un effet « postapocalyptique » et déplaisant.

Lorsque les photos incluent des personnes, elles sont (probablement aussi pour des raisons de confidentialités) vues de loin, non identifiables, dépourvus d’individualités et de contexte de vie.

Les photos de Captcha sont souvent prises à partir d’angles complètement anormaux et improbables. Une photo est censée représenter la réalité telle que nous la percevons. C’est un instant capturé selon notre réalité, à notre hauteur de vue et axé en fonction de notre morphologie. Ce sont des voitures autonomes, avec des caméras montées, qui prennent ces photos. Elles reflètent donc une réalité distordue, non conforme, avec une perspective singulière et perturbante.

Certaines images de bases sont traitées par Google. Le résultat laisse parfois à désirer : le cadrage est mauvais (désaxé) et la texture est granuleuse. On peine à comprendre ce que l’on voit. Il n’est ici plus question d’identifier mais de comprendre puis d’identifier. Ces images démontrent la complexité qu’elles peuvent rajouter aux Captchas alors qu’elles doivent simplement permettre de vérifier que les utilisateurs ne sont pas des bots malveillants.

Les Captchas nous demandent d’analyser le monde dans un style de balayage visuel d’une intelligence artificielle. Chercheraient-ils à nous déshumaniser ? Est-ce une des raisons qui rendent l’expérience parfois si désagréable ?

L’IA est construite pour reconnaître les objets de l’environnement construit : feux de signalisation, taxis. Elle ne se soucie pas de la nature qu’elle est incapable de reconnaître. C’est pourquoi les photos de CAPTCHA forment un diaporama brutal et ininterrompu de métal et de béton.

CONCLUSION

Le Captcha est une technologie utilisée à l’échelle mondiale. Même si elle possède bon nombre de qualités et de défauts, ce n’est pas une technologie immuable. Elle est en constante évolution et essaye de s’adapter à tout type d’utilisateurs et contre tout type d’attaque.

Il y aura malheureusement toujours des bots malveillants qui tenteront de pénétrer des sites internet pour nuire. Ainsi, nous aurons toujours besoin de la technologie Captcha pour dissocier les réels utilisateurs des tentatives frauduleuses.

Le Captcha du futur ne ressemblera probablement en rien à celui d’aujourd’hui (identification de bus, de panneaux de signalisation, etc.). Il évoluera parallèlement à l’intelligence artificielle, aux contraintes humaines, et cela grâce aux améliorations à venir. Il faut espérer l’essor de systèmes de détection, qui pousseront les bots à commettre des erreurs pour les bloquer. Cela aurait un impact colossal au niveau de l’UX. Cela pourrait aussi grandement endiguer la frustration causée par les captchas tout en conservant leur fonctionnalité native de blocage.

Mais pour l’instant, il va falloir se contenter des Captchas existants, prendre notre mal en patience et faire face à l’adversité.

Article rédigé par Guillaume Buisson, consultant HeadMind Partners