Friendly Captcha, la protection anti-Bot conforme au RGPD

Rédigé par Teddy Vermeulin le 02/06/2024

Nous avons testé et adopté FriendlyCaptcha, une alternative payante à reCaptcha, entièrement conforme au RGPD.

Dans un monde de plus en plus connecté, le respect de la vie privée des utilisateurs est devenu une priorité essentielle pour toute organisation responsable. Les données personnelles doivent être protégées et traitées conformément aux réglementations en vigueur, telles que le Règlement Général sur la Protection des Données (RGPD). 

Par ailleurs, il est crucial de garantir la sécurité des sites et plateforme que nous construisons contre les activités malveillantes, notamment les attaques de bots.

C'est dans ce contexte que nous avons testé Friendly Captcha, et voici notre avis sur le service qu'il propose.

La protection anti-Bot

Un CAPTCHA, qu'est ce que c'est ?

Un CAPTCHA (acronyme anglais de Completely Automated Public Turing test to tell Computers and Humans Apart) est un type de défi utilisé en informatique (utilisant généralement la capacité d'analyse d'image, de son, ou de réponse à une question simple) pour déterminer si l'utilisateur est un humain ou un programme automatisé.

Les CAPTCHA sont couramment utilisés pour protéger les sites web contre les actions nuisibles telles que la création de comptes fictifs, l'envoi de spams sur les formulaires ou la surcharge des serveurs.

Les limites de reCaptcha, le service gratuit proposé par Google

Parmi les solutions les plus connues et répandues figure reCaptcha de Google. Bien que très efficace, il présente certaines lacunes :

  1. Le service proposé par Google peut être très intrusif pour les utilisateurs. Il exige souvent plusieurs étapes de vérification (comme reconnaître des feux tricolores, ou étiqueter des voitures), ce qui peut nuire à l'expérience utilisateur. 
     
  2. Il soulève par ailleurs des préoccupations en matière de confidentialité des données, car il collecte des informations sur les utilisateurs, souvent à leur insu. En théorie, si un utilisateur refuse les cookies sur un site, le service reCaptcha devrait être désactivé. Cependant, dans la grande majorité des cas, cela n'est pas respecté. Et lorsqu'il est désactivé, l'accès au formulaire est souvent bloqué, obligeant les utilisateurs à accepter les cookies pour continuer.

Proof-of-Work, l'approche novatrice de Friendly Captcha

Proof-of-Work, littéralement en français, Preuve de travail, est un mécanisme de sécurité qui nécessite qu'un ordinateur résolve un problème mathématique complexe avant d'accéder à une ressource. Ce processus demande une quantité non négligeable de calculs, ce qui implique une utilisation de temps et de ressources informatiques. 

L'idée est que pour un humain, résoudre ce problème est une tâche facile car le travail est effectué par l'ordinateur en arrière-plan. Mais pour un bot qui va tenter d'automatiser des milliers de requêtes, cela devient rapidement complexe en raison de la charge de calcul nécessaire.

Dans le contexte de Friendly Captcha, ce mécanisme fonctionne ainsi :

  1. Initiation
    Lorsqu'un utilisateur tente d'accéder à une ressource protégée par Friendly Captcha, un défi Proof-of-Work, en l'occurence un puzzle cryptographique unique à chaque appareil utilisateur, est généré.
     
  2. Résolution
    Le navigateur de l'utilisateur commence à résoudre ce défi en arrière-plan. Cela implique des calculs mathématiques qui consomment des ressources CPU. La résolution se fait de manière automatique, dès que l'utilisateur commence à remplir le formulaire. Dans la majorité des cas, le défi est résolu avant même que l'utilisateur n'ait fini de remplir le formulaire.  
     
  3. Validation
    Une fois le défi résolu, la preuve de travail est envoyée au serveur de Friendly Captcha pour vérification.
     
  4. Accès
    Si la preuve est valide, l'utilisateur peut soumettre les données renseignées dans le formulaire.

Cette approche présente plusieurs avantages :

  • Sécurité
    Elle rend les attaques de bots beaucoup plus difficiles et coûteuses à exécuter. En efftet, en imposant une charge de calcul significative que les utilisateurs humains ne remarquent pas, elle dissuade les attaquants automatisés.
     
  • Confidentialité
    Contrairement à la majorité des autres systèmes de CAPTCHA, le Proof-of-Work n'implique pas la collecte de données personnelles des utilisateurs.
     
  • Expérience utilisateur
    L'utilisateur humain ne perçoit généralement pas le processus de résolution, ce qui offre une expérience fluide et sans interruption.
     
  • Accessibilité :
    En proposant un défi invisible à l'utilisateur, toutes personnes malvoyantes ou malentendantes ne rencontreront aucune difficulté dans la résolution du CAPTCHA.

Un solution payante

Gratuit, vraiment ? 

Contrairement à d'autres solutions comme reCaptcha, Friendly captcha ne propose pas de version gratuite. Les tarifs proposés par la société allemande peuvent être dissuasifs pour beaucoup de développeur ou société. 

Google nous a habitués à une apparente gratuité de ses services. En ne facturant apparemment rien, il se rémunère en exploitant la quantité gigantesque de données que nous leur offrons, dans la majorité des cas à l'insu de l'utilisateur final. Je vous invite à lire cet article qui retrace l'évolution du reCaptcha et comment Google en a fait un outil de collecte massive de données.

Dans le contexte actuel où la protection de la vie privée est au cœur des enjeux du web de demain, il est crucial pour les entreprises de comprendre l'importance de payer pour un service qui protège réellement les utilisateurs. Adopter une solution, bien que coûteuse, témoigne d'un engagement fort envers la confidentialité et la sécurité des données de leurs clients. À long terme, cela pourrait s'avérer bien plus bénéfique en termes d'image et de confiance des utilisateurs.

Des offres qui s'adaptent aux besoins

Avec des tarifs allant de 9€ par mois à des offres sur mesure, la proposition commerciale de Friendly Captcha est assez variée. 

Néanmoins, dans le cadre d'une agence digitale, nous recommandons de commencer par la formule Advanced à 200€ par mois. L'avantage évident de cette formule est qu'elle permet de sélectionner le centre de données dédié à l'envoi des validations, notamment un centre de données basé dans l'Union européenne. 

Cette formule offre une protection jusqu'à 50 domaines ce qui permettra de lisser le tarif sur plusieurs clients, et ainsi amortir l'investissement. 

Simple et hautement personnalisable

Un intégration simplifiée

De nombreux CMS (WordPress, Drupal, Joomla, Magenta, etc.), framework (Laravel, Flottement, Vue, etc.) et librairies (ReactJS) bénéficient d'une intégration simplifiée par des extensions développées par Friendly Captcha. 

De plus, une documentation très claire et précise est fournie, garantissant une intégration sans surprises.

... et transparente

Le dernier avantage de Friendly Captcha est que , contrairement à de nombreux concurrents, cette solution n'est pas intégrée dans une iframe. L'intérêt est évident : vous pouvez, avec quelques règles de style, la personnaliser entièrement pour qu'elle s'intègre parfaitement à la charte graphique de votre plateforme.

Le tester, c'est l'adopter

En conclusion, Friendly Captcha se distingue par son respect strict de la vie privée, sa conformité au RGPD, et son mécanisme de sécurité avancé. Bien que cette solution implique un coût non négligeable, elle offre une protection robuste contre les bots tout en garantissant une expérience utilisateur fluide et personnalisable.