En 2013, Target a désormais tristement compromis les données de dizaines de millions de clients dans un événement qui a réduit les ventes, entraîné des poursuites judiciaires, et même causé la démission du PDG.
Qu’est-il arrivé ?
Les pirates ont eu accès à Target via un fournisseur tiers qui manquait de CAPTCHA ou de toute forme d’authentification pour garantir qu’il s’agissait d’un humain — et non d’un bot malveillant — qui entrait dans leur système.
De là, il n’a pas fallu longtemps pour que le bot infiltre l’organisation de ce fournisseur tiers et pénètre dans le réseau de paiement du grand détaillant.
Quelle est la leçon ici ?
Si des acteurs malveillants cherchent un moyen d’entrer sur ton site web, un CAPTCHA peut être une puissante première ligne de défense, et même les convaincre de passer à une cible plus facile (jeu de mots *très* intentionnel).
Intrigué par ce concept de CAPTCHA ?
Alors continue à lire pour apprendre :
- La différence entre CAPTCHA et reCAPTCHA (et ce que signifient toutes ces lettres !)
- Les types principaux de CAPTCHAs utilisés aujourd’hui
- Comment les CAPTCHAs peuvent aider les propriétaires de sites web à éviter le spam et les abus
- Quelques inconvénients à considérer avec les CAPTCHAs
- Deux manières d’ajouter un Google reCAPTCHA à votre site WordPress
Qu’est-ce que reCAPTCHA ?
Préparez-vous, parce que celui-ci est complexe.
Commençons par une définition de base : « reCAPTCHA est un service de Google qui aide à protéger les sites web contre le spam et les abus. »
reCAPTCHA de Google est une version populaire et de marque de CAPTCHA. L’idée originale du CAPTCHA a été conçue à l’Université Carnegie Mellon vers 2000. reCAPTCHA a également été créé par des développeurs de la même université, puis acheté par Google vers 2009.
Maintenant pour la couche suivante : Que signifient réellement toutes les lettres dans « CAPTCHA » ?
L’expression CAPTCHA est une abréviation de « Test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains ».
Et cette explication nous amène à dévoiler une dernière couche logique : Qu’est-ce qu’un test de Turing ?
Si tu es comme nous, ta principale connaissance du Test de Turing provient du film de 2014 The Imitation Game, mettant en vedette le mathématicien et informaticien Alan Turing.
Alan Turing a développé le Test de Turing (qu’il a initialement appelé le jeu de l’imitation — humble) pour répondre à la question : « Les machines peuvent-elles penser ? »
Aujourd’hui, les tests de Turing sont principalement utilisés pour distinguer les humains des bots en testant la capacité d’un bot à afficher le même comportement intelligent qu’un humain. Dans ce cas, les bots font référence à des programmes logiciels automatisés, souvent alimentés par l’intelligence artificielle (IA).
Bot
Un bot est un programme conçu pour automatiser des tâches spécifiques. Par exemple, les moteurs de recherche utilisent des bots pour parcourir le web en suivant des liens afin de cartographier et d’indexer de nouvelles pages. Les bots sont également courants dans les logiciels malveillants.
En savoir plusLes CAPTCHAs aident à prévenir le spam et les abus sur les sites web en bloquant les bots avec des défis qui sont relativement faciles à résoudre et à accomplir pour nous, les humains, mais qui exposent souvent les bots pour ce qu’ils sont réellement.
Maintenant que tu en sais assez pour définitivement écrire un roman sur les origines du CAPTCHA, parlons de toutes les différentes manières dont nous voyons ce concept apparaître dans la vie de tous les jours.
Différents Types de CAPTCHAs
Les CAPTCHAs se sont développés dans diverses directions au fil des années dans le but de faire la distinction entre les humains et les bots. Aujourd’hui, il existe plusieurs types courants de CAPTCHAs qui nécessitent différentes formes de raisonnement et de saisie.
CAPTCHAs Basés Sur Le Texte
Les CAPTCHAs basés sur le texte affichent des caractères dans des dispositions étranges, utilisant des polices inhabituelles, et sur des fonds colorés.
Ces CAPTCHA exigent de raisonner et de traduire pour déterminer ce que chaque lettre et numéro doit représenter — une tâche intelligente que de nombreux bots préprogrammés ne peuvent pas réaliser.
CAPTCHA Basés Sur Des Images
Avec un CAPTCHA basé sur des images, l’utilisateur du site doit identifier quelles photos affichées correspondent à l’invite fournie. En utilisant des photos qui se ressemblent et qui nécessitent un niveau de logique pour les distinguer, cette option peut également déjouer les bots.
Les tests de reCAPTCHA de Google utilisent souvent cette méthode — ce qui est logique compte tenu de sa vaste source de photos issues de Google Street View.
CAPTCHAs Basés Sur L’Audio
Avec les CAPTCHAs basés sur l’audio, le son est le médium. Cette méthode est souvent associée à d’autres, comme les CAPTCHAs textuels et visuels.
Les CAPTCHAs audio ne sont pas seulement plus accessibles aux personnes malvoyantes – ils sont également un puissant bloqueur de bots car ils reposent sur la difficulté à distinguer les mots réels du bruit de fond.
CAPTCHAs Basés Sur Des Cases À Cocher
Bien que ces CAPTCHAs puissent sembler simples en surface, ils évaluent en réalité la manière dont les utilisateurs du site interagissent avec la case à cocher elle-même.
Les Bots remplissent les formulaires et cochent les cases instantanément, tandis que les humains naviguent à travers ce processus plus lentement.
Cette méthode peut être combinée avec d’autres CAPTCHAs si tu souhaites encore plus de garanties que l’utilisateur n’est pas en réalité un programme informatique habilement déguisé en humain portant un pantalon de survêtement et buvant du Starbucks.
CAPTCHAs Basés Sur Le Comportement
Le fait est que les logiciels sont devenus tellement intelligents que beaucoup des CAPTCHAs mentionnés ci-dessus peuvent être contournés de nos jours.
C’est pourquoi la version la plus récente de reCAPTCHA — reCAPTCHA v3 de Google — a changé la donne avec une méthode CAPTCHA qui fonctionne en arrière-plan.
reCAPTCHA v3 est un reCAPTCHA principalement invisible, qui utilise une API JavaScript et un moteur d’analyse de risques adaptatif alimenté par l’apprentissage automatique pour noter les utilisateurs en fonction de leur comportement lorsqu’ils interagissent avec vos pages web.
En coulisse, reCAPTCHA v3 attribue à chaque utilisateur un score qui tente de déterminer s’ils sont humains ou un bot. Bien sûr, dans certains cas, cette surveillance peut ne pas être suffisante pour arrêter les bots vraiment intelligents.
De plus, à une époque où le pendule revient vers la confidentialité sur internet, cette méthode peut être controversée car elle surveille ton activité sur le site, l’unique avertissement étant souvent le petit badge reCAPTCHA.
Ce dont nous avons parlé ici ne représente que les CAPTCHAs les plus courants. D’autres types de programmes demandent à l’utilisateur du site de déplacer des objets à un point spécifique de l’écran, de jouer à un “microjeu”, etc. Découvrez plus d’exemples de CAPTCHA ici.
Cas D’utilisation : Où Appliquer Les CAPTCHAs Pour Prévenir Le Spam
Le logiciel automatisé alimenté par l’IA a de nombreuses applications extraordinaires, comme aider les entreprises à accomplir des tâches banales et répétitives pour économiser du temps aux travailleurs.
Cependant, les acteurs hostiles ont certainement trouvé des moyens d’utiliser cette technologie pour attaquer des sites web.
Attaque DDoS
DDoS signifie Déni de Service Distribué. C’est une attaque qui tente de rendre un système ou un réseau indisponible en le saturant de trafic provenant de multiples sources.
En savoir plusVoici quelques-uns des meilleurs cas d’utilisation, où l’application de CAPTCHAs peut protéger ton site contre le spam et les abus.
Sondages Et Questionnaires
Les entreprises utilisent des sondages et des questionnaires pour toutes sortes de raisons.
À l’extérieur, ils peuvent t’aider à recueillir des avis et de nouvelles idées pour des produits, des services, le marketing, l’image de marque, le contenu et tout le reste orienté utilisateur.
À l’intérieur, les sondages et les questionnaires peuvent aider à garantir le bonheur des employés et à recueillir des avis sur les nouvelles politiques et offres.
Tu ne voudrais pas fausser ces résultats avec un nombre écrasant de réponses automatisées et fausses, n’est-ce pas ?
Les bots pourraient certainement.
Connexions Utilisateur
Les Bots sont souvent déployés pour aider les pirates à accéder aux sites web via des comptes existants que les utilisateurs ont déjà créés.
Généralement, ils le font via des attaques par force brute qui utilisent un logiciel pour deviner automatiquement des centaines de mots de passe en quelques secondes.
Pourquoi voudraient-ils accéder à ces comptes ? Parfois, c’est pour qu’ils puissent voler des informations des comptes et les utiliser pour pirater d’autres propriétés en ligne. Le piratage se produit souvent en événements séquentiels.
D’autres fois, c’est pour qu’ils puissent utiliser le compte afin de publier du matériel promotionnel ou d’autres informations pour lesquelles ils savent qu’ils seront rapidement bloqués.
Sections de commentaires
Tu as probablement vu beaucoup de spam apparaître dans les sections de commentaires sur les sites web et les réseaux sociaux.
Les bots sont utilisés pour laisser des commentaires en masse afin de diffuser de la publicité, un point de vue particulier (comme un point de vue politique autour du temps des élections), ou des liens vers des sources néfastes où des pirates attendent de voler les informations des visiteurs.
Formulaires
Tout comme les sections de commentaires, les formulaires qui ne sont pas protégés par des CAPTCHAs peuvent être submergés par des soumissions fausses de bots programmés pour essayer de vendre quelque chose, diffuser un récit spécifique, ou même hameçonner des données sensibles.
Caisse
Il y a plusieurs raisons pour lesquelles des pirates pourraient vouloir diriger leurs bots sur la page de paiement d’un site web.
La première est évidente : acheter des billets ou d’autres stocks à un rythme que les humains ne peuvent pas suivre. Et puis, probablement, les revendre ailleurs à des prix plus élevés. (Nous ne sommes pas du tout amers d’avoir manqué les billets de Taylor Swift…)
En second lieu, les bots peuvent utiliser des flux de paiement non protégés pour effectuer ce qu’on appelle des tests de cartes. Cela consiste à exécuter des scripts automatisés dans ton système de paiement pour tester si les numéros de cartes de crédit volés sont utilisables ou non.
En exigeant que des CAPTCHAs soient résolus avant que les actions ci-dessus ne soient complétées — ton site web devrait être capable d’identifier et d’arrêter la plupart des abus automatisés effectués par des bots.
Attaque Par Force Brute
Une attaque par force brute est une agression cybernétique où l’attaquant utilise des méthodes d’essai et d’erreur pour pénétrer dans un compte en ligne. Elle est généralement menée par des bots malveillants qui tentent de deviner les mots de passe, les identifiants de connexion généraux, ou les clés numériques.
En savoir plusInconvénients Potentiels de l’Utilisation des CAPTCHAs
Bien que les CAPTCHAs aient clairement leurs avantages, il y a quelques inconvénients à considérer lorsque tu configures ce système sur ton site web :
- Les CAPTCHAs peuvent rendre votre site web moins accessible aux personnes ayant des déficiences auditives et/ou visuelles, ou à celles qui ne connaissent pas la langue utilisée par votre CAPTCHA.
- Les CAPTCHAs peuvent interrompre l’expérience utilisateur, et s’ils sont trop difficiles, ils peuvent même empêcher l’engagement des utilisateurs humains.
- Les CAPTCHAs ne sont pas complètement infaillibles, donc les propriétaires de sites web ne devraient pas se laisser bercer par un faux sentiment de sécurité — nous devons toujours rester vigilants pour détecter les signes de spam et les attaques.
De plus, il y a certains éléments du reCAPTCHA de Google en particulier que les propriétaires de sites web devraient connaître :
- Le reCAPTCHA v3 peut sembler invasif pour les utilisateurs car il surveille le comportement sur l’ensemble du site afin de fonctionner, ce qui peut pousser les personnes soucieuses de leur vie privée à éviter d’utiliser votre site.
- Le modèle économique de Google est basé sur l’utilisation ou la vente de données pour la publicité, ce qui peut rebuter les propriétaires de sites web (et les utilisateurs) qui ne veulent pas que leur comportement ou leurs données soient monétisés.
- Le reCAPTCHA tire profit du travail des utilisateurs en récoltant des données à partir des interactions des utilisateurs pour entraîner les systèmes d’identification visuelle de Google, ce qui peut déranger certaines personnes.
- Google est parfois bloqué dans des pays comme la Chine, donc installer la technologie de Google peut limiter considérablement la portée globale d’un site web.
Comment Ajouter reCAPTCHA à WordPress via un Plugin (6 Étapes)
Préface : Les CAPTCHAs de toutes sortes peuvent être ajoutés sur des sites de tous types.
Cependant, puisque WordPress est l’une des plateformes de sites web les plus populaires et que reCAPTCHA de Google est puissant, gratuit (jusqu’à un million d’évaluations) et très populaire — nous allons nous concentrer aujourd’hui sur leur intégration.
Maintenant, protégeons ton site.
Étape 1 : Enregistre Ton Site
Pour commencer, enregistre ta site WordPress dans le panneau d’administration reCAPTCHA de Google. Pour compléter cette étape, tu dois te connecter ou créer un compte Google.
Lors de l’inscription, tu rempliras des informations telles que le nom que tu souhaites donner à ton site web, quel type de vérification reCAPTCHA tu veux utiliser, etc.
Étape 2 : Récupère Tes Clés
Avec l’enregistrement soumis, Google fournira à la fois une clé de site et une clé secrète. Voici comment tu feras communiquer ton Google reCAPTCHA avec ton site web WordPress.
Copie-les, car nous allons bientôt les utiliser.
Étape 3 : Installer Le Plugin WordPress
Maintenant, connecte-toi à WordPress.
Si tu n’as pas déjà installé de plugin reCAPTCHA, rends-toi dans Tableau de bord > Plugins > Ajouter et recherche « reCAPTCHA. » reCaptcha par BestWebSoft, CAPTCHA 4WP, et Contact Form 7 sont des options populaires.
Une fois installés, la plupart de ces plugins te guideront pour connecter ton site web à ton Google reCAPTCHA. Nous continuerons le reste de ce tutoriel en utilisant Contact Form 7 comme exemple pour montrer à quel point cela peut être accessible.
Étape 4 : Activer reCAPTCHA
Avec Contact Form 7 installé, rends-toi dans Contact > Intégration sur WordPress. Localise la boîte d’intégration reCAPTCHA et commence le processus de configuration.
Tu seras invité à coller les clés de site et les clés secrètes que tu viens de recevoir de Google. Une fois celles-ci ajoutées et les modifications enregistrées, le reCAPTCHA sera opérationnel sur ton site.
Pour un guide de configuration de Contact Form 7, consulte notre article de la Base de connaissances sur Dépannage des formulaires de contact WordPress.
Étape 5 : Ajouter reCAPTCHA à Un Formulaire
Maintenant que ta fonctionnalité reCAPTCHA est activée, tu devras l’ajouter à tous les formulaires que tu souhaites protéger des soumissions par des bots.
Pour ce faire, va dans Contact > Tableau de bord dans WordPress et ajoute un nouveau formulaire.
Ici, tu vas légèrement modifier le code du modèle de formulaire pour intégrer un reCAPTCHA.
Ajoute “[recaptcha]” juste avant la ligne “[submit “Submit”]”. Une fois que tu sauvegardes, tu devrais voir un shortcode apparaître sous le titre du formulaire.
Étape 6 : Publie Ton Formulaire reCAPTCHA Sur Ton Site Web
Copie ce shortcode que tu viens de créer.
Maintenant, va de l’avant et colle ce code dans des articles, des pages ou des widgets texte pour installer un nouveau formulaire complet avec un reCAPTCHA !
Comment Ajouter reCAPTCHA à WordPress Manuellement (4 Étapes)
Comme alternative à la méthode par plugin, tu peux ajouter un reCAPTCHA manuellement à n’importe quel formulaire sur ton site web.
Cela nécessitera un peu de bidouillage de code. Si tu es sensible à des choses comme les balises head et les extraits de JavaScript, alors tu te sentiras peut-être plus à l’aise avec une option prête à l’emploi.
Mais si tu es prêt à retrousser tes manches, mettre en place les choses est assez facile sur une échelle allant de très facile (lancer un nouveau site web avec DreamHost) à très difficile (résoudre le problème des trois corps).
Plongeons dedans.
Étape 1 : Enregistre Ton Site et Récupère Tes Clés
Tout comme avec la méthode des plugins, tu devras commencer par t’inscrire à reCAPTCHA depuis le site web de Google.
Tu peux le faire en deux étapes rapides :
- Enregistre ton site WordPress dans le panneau d’administration de reCAPTCHA de Google et sélectionne le type de reCAPTCHA.
- Copie ta clé de site et ta clé secrète pour une utilisation future.
Maintenant, revenons au site web en question. Il y a trois éléments clés qui font fonctionner reCAPTCHA :
- La bibliothèque JavaScript (API reCAPTCHA)
- L’élément de formulaire HTML
- Le code de vérification de la réponse
Nous commencerons avec la bibliothèque JavaScript reCAPTCHA.
Étape 2 : Ajouter la bibliothèque JavaScript reCAPTCHA
Pour commencer, nous devons ajouter la bibliothèque JavaScript à ton site web. Il s’agit d’un petit extrait de code qui doit être ajouté à chaque page qui utilisera reCAPTCHA :
“<script src="https://www.google.com/recaptcha/api.js" async defer></script>”
Le moyen le plus simple de s’assurer que cela est accessible sur toutes les pages nécessaires est de l’ajouter à ton en-tête universel avant la balise de fermeture “</head>”.
Tu peux le faire de deux manières :
- Manuellement, en accédant directement au header.php depuis l’admin WordPress, ou le gestionnaire de fichiers dans ton tableau de bord d’hébergement
- En utilisant un Plugin pour ajouter le code à ton en-tête
Ajout du Code Manuellement
Si tu choisis la première option, tu devras utiliser soit l’éditeur de fichiers de thème dans WordPress, soit ton gestionnaire de fichiers pour accéder directement au fichier header.php.
Note Importante : Modifier directement les fichiers de ton thème peut endommager ton site web, et tes modifications pourraient être écrasées à chaque mise à jour de ton thème. Si tu n’as pas l’expérience nécessaire pour modifier directement les fichiers du thème, passe directement à la section « Utiliser un Plugin pour Ajouter le Code » pour une solution moins risquée.
Ton gestionnaire de fichiers aura une apparence différente selon ton hébergeur, mais si tu utilises DreamHost, navigue jusqu’à WordPress > Hébergement WordPress géré dans la barre latérale. Trouve le domaine auquel tu veux ajouter un reCAPTCHA et sélectionne Gérer.
Hébergement WordPress géré dans la barre latérale. Trouve le domaine auquel tu veux ajouter un reCAPTCHA et sélectionne Gérer.” class=”wp-image-39873″/>Ensuite, clique sur le bouton Gérer les fichiers dans la section Détails.
Ouvre le dossier qui porte le nom de ton domaine. De là, tu navigueras vers wp-content > themes et trouveras le dossier de ton thème WordPress actuel.
Trouve le fichier appelé header.php, ouvre-le et trouve la balise de fermeture <code>“</head>”</code> dans le code.
Copie et colle le morceau de code JavaScript de reCAPTCHA juste avant cette ligne.
Utiliser Un Plugin Pour Ajouter Le Code
Si ce qui précède semble trop compliqué, ne t’inquiète pas. Nous avons tout prévu pour toi.
À la place, tu peux installer un plugin WordPress qui ajoutera automatiquement le code directement à ton en-tête sans nécessiter de piratage.
En utilisant un plugin comme WPCode, tu peux facilement ajouter des extraits de code pertinents aux parties clés de ton thème WordPress.
Depuis ton panneau d’administration WordPress, va dans Plugins > Add New et recherche WPCode.
Cliquez sur Installer, puis sur Activer.
Une fois WPCode activé, tu devrais voir une nouvelle section dans ton menu latéral gauche appelée Code Snippets.
Rends-toi dans Code Snippets > Header & Footer.
Dans la page Header & Footer, colle le code JavaScript dans la section Header et enregistre tes modifications.
Boom — code ajouté !
Étape 3 : Ajouter reCAPTCHA à Ton Formulaire
Maintenant, nous allons ajuster le code sur le formulaire actuel où tu souhaites voir ton reCAPTCHA.
Encore une fois, tu peux utiliser un gestionnaire de fichiers, l’éditeur WordPress ou même FTP. Il devrait se trouver dans le dossier wp-content qui contient tous tes plugins, thèmes et médias.
Dans le code du formulaire, colle le code suivant avant la ligne de soumission pour ajouter le reCAPTCHA :
“<div class="g-recaptcha" data-sitekey="your_site_key"></div>”
Voici un exemple de ce à quoi cela pourrait ressembler :
Remplace “your_site_key” par la clé de site que tu as reçue de Google.
Étape 4 : Gérer La Réponse
Peut-être la partie la plus délicate du processus consiste à ajouter du code pour gérer la réponse de reCAPTCHA. Cela indique essentiellement à ton site s’il doit traiter le formulaire ou le bloquer.
Pour configurer cela, tu devras ajouter un autre extrait de code au formulaire (la fonction de rappel) :
$secretKey = "ta_clé_secrète";
$response = $_POST['g-recaptcha-response'];
$remoteIp = $_SERVER['REMOTE_ADDR'];
$url = "https://www.google.com/recaptcha/api/siteverify?secret=".$secretKey."&response=".$response."&remoteip=".$remoteIp;
$response = file_get_contents($url);
$responseKeys = json_decode($response,true);
if(intval($responseKeys["success"]) !== 1) {
// Gérer l'échec de la validation reCAPTCHA
} else {
// Traiter la soumission du formulaire
}”
Dans ce code, tu devras remplacer “your_secret_key” par la clé secrète fournie par Google.
Ceci n’est qu’un exemple de mise en œuvre qui te permettrait de personnaliser la manière dont la soumission est gérée. Il existe de nombreuses autres méthodes pour gérer la validation côté serveur et les fonctions de rappel.
Pour plus d’informations sur la manière de gérer cette partie du processus, consulte la documentation officielle de Google.
Adieu Spam, Bonjour Sécurité
Bien que nous devions réitérer que reCAPTCHA et les CAPTCHAs ne sont pas la solution ultime en matière de sécurité de site web, ils constituent une étape cruciale pour t’aider à repousser les bots automatisés et les pirates mal intentionnés.
Pour plus de conseils sur la sécurisation de ton site WordPress et plus encore, reste à l’écoute du DreamHost blog. Nous publions toujours des ressources pour t’aider à garder ton site sûr, rapide et en ligne afin de faire bonne impression auprès des visiteurs du site et des moteurs de recherche.
Tu Le Rêves, Nous Le Codons
Profite de plus de 20 ans d’expertise en codage lorsque tu choisis notre service de Développement Web. Dis-nous simplement ce que tu veux pour ton site — nous prenons le relais à partir de là.
En Savoir Plus