Guide d'achat des fournisseurs CAPTCHA 2025
Découvrez comment fonctionnent les CAPTCHA modernes. Comparez Google reCAPTCHA, Cloudflare Turnstile et d'autres fournisseurs selon les fonctionnalités, les prix et des conseils d'intégration.
Product & Design
Qu'est-ce qu'un CAPTCHA ?
Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) est un système de vérification par défi-réponse utilisé pour distinguer les utilisateurs humains des programmes automatisés ou des bots. Il présente des tâches faciles pour les humains mais difficiles pour les machines.
Par exemple, un CAPTCHA traditionnel peut afficher des lettres ou des chiffres déformés et demander à l'utilisateur de les saisir. En exploitant la reconnaissance de formes humaine, les CAPTCHA bloquent la majorité des scripts et robots spammeurs qui cherchent à abuser des formulaires et services en ligne.
Comment fonctionne un CAPTCHA ?
Les CAPTCHA classiques reposent sur des tâches comme l’interprétation de texte déformé ou la sélection d’images spécifiques. La déformation (par exemple, des lettres tordues superposées à du bruit) met en échec les simples algorithmes d’OCR (Reconnaissance Optique de Caractères).
Les solutions CAPTCHA modernes ont évolué en plusieurs catégories :
- CAPTCHA interactif : L'utilisateur doit activement résoudre une énigme ou effectuer une opération spécifique. Par exemple : le célèbre défi « Je ne suis pas un robot » à cocher. Après avoir coché la case, il peut être demandé de sélectionner toutes les images de feux de signalisation ou de vitrines, de saisir des caractères affichés, voire de passer un test sonore. Notamment, avec Cloudflare Turnstile, un simple clic sur la case suffit à vérifier l’humain sans défis compliqués.
- CAPTCHA non-interactif : Ces CAPTCHA n’interrompent pas l’utilisateur par une énigme ou une opération. Par exemple, avec le mode non-interactif de Cloudflare Turnstile, les visiteurs voient simplement un petit widget avec une barre de chargement automatique. Un contrôle s’exécute en arrière-plan et retourne silencieusement un résultat de succès ou d’échec. Cette approche privilégie l’expérience utilisateur.
- CAPTCHA invisible ou passif : Ces systèmes fonctionnent entièrement en arrière-plan, sans test apparent. Par exemple, Google reCAPTCHA v3 analyse de façon invisible le comportement de l'utilisateur (mouvements de souris, temps de réaction, cookies, etc.) afin de définir un score de risque (de 0 à 1) sans défi direct. L’utilisateur ne voit pratiquement rien sauf si le score est trop bas.
Faut-il ajouter une protection CAPTCHA dans le produit ?
L'utilisation d'un CAPTCHA est un compromis entre sécurité et expérience utilisateur. Lors du choix d’un service CAPTCHA, plusieurs critères sont à prendre en compte :
L'IA peut-elle contourner un défi CAPTCHA ?
Les CAPTCHA sont efficaces contre les bots de base, mais des attaquants déterminés disposent de contre-mesures. Des scripts avancés ou bots utilisant l’IA peuvent parfois contourner les CAPTCHA grâce à la reconnaissance d’images/OCR et au machine learning. Il existe même des services anti-CAPTCHA ou de résolution (appelés bypass-as-a-service) où les attaquants paient des humains ou des IA spécialisées pour résoudre des CAPTCHA à grande échelle. Par exemple, Google a signalé que les anciens CAPTCHA texte pouvaient être résolus par des bots plus de 99% du temps.
Cependant, les CAPTCHA non-interactifs et invisibles modernes, basés sur le comportement ou sur des contrôles cryptographiques en arrière-plan, offrent une meilleure défense contre les attaques IA. À noter : le trafic de bots est désormais massif, représentant environ 51% de tout le trafic Internet, dont 37% sont malicieux. Il est donc important de mettre en place une détection des bots, même imparfaite.
Par ailleurs, il est nécessaire d’ajouter des couches supplémentaires de protection anti-bot, comme l’empreinte numérique des appareils (par exemple via passkeys), la limitation de taux, ou l’authentification multifacteur.
L’ajout d’un CAPTCHA dégrade-t-il l’expérience utilisateur ?
Tout CAPTCHA ajoute de la friction aux utilisateurs. Les études montrent qu'environ 66 % des humains saisissent correctement un CAPTCHA du premier coup, ce qui signifie que beaucoup peuvent se décourager ou abandonner un formulaire. Par exemple, des puzzles d’images longs ou de multiples tentatives font baisser les taux de conversion.
Pour limiter cela, les fournisseurs modernes de CAPTCHA cherchent à réduire au maximum l’effort humain. Leurs stratégies incluent :
- Ne poser le défi qu’aux utilisateurs jugés à haut risque.
- Utiliser des signaux discrets (mouvements de souris, chronométrage, etc.) au lieu de puzzles.
- Proposer des CAPTCHA invisibles qui s’exécutent sans bruit.
Cloudflare indique que Turnstile « élimine l’expérience frustrante des CAPTCHA » afin que les utilisateurs « n’aient plus à perdre de temps et d’efforts à résoudre des énigmes visuelles ». En pratique, la plupart des sites affichent seulement une case à cocher ou une image défi si le comportement de l’utilisateur paraît suspect ; les utilisateurs normaux ne voient rien du tout.
Les CAPTCHA bloquent-ils l’accès des agents IA aux services tiers ?
Aujourd’hui, de plus en plus d’agents IA émergent pour automatiser des tâches et interagir avec des services tiers.
Beaucoup d’agents IA spécialisés se connectent de façon légitime à des applications tierces via des protocoles standard comme OAuth et MCP (Model Context Protocols). C’est une manière sécurisée et validée d’autoriser l’accès de l’agent, facilitant l’autorisation par l’utilisateur.
Cependant, certains agents IA « généralistes » veulent complètement remplacer l’action de l’humain sur un navigateur. Par exemple, Manus vise à tout automatiser dans un navigateur : remplir des formulaires, se connecter avec identifiant et mot de passe, etc. Dans la pratique, Manus échoue à franchir les CAPTCHA modernes à haute sécurité comme Cloudflare Turnstile ou Google reCAPTCHA Enterprise, même si l’utilisateur tente de « passer la session à un humain » pour résoudre le défi. Si vous développez un agent IA, il est crucial de concevoir soigneusement vos flux d’authentification. S’appuyer sur l’automatisation navigateur comme un humain devient de moins en moins viable car les CAPTCHA robustes bloquent très efficacement les interactions suspectes.
L’ajout d’un CAPTCHA augmente-t-il les coûts ?
Les services CAPTCHA peuvent être gratuits ou payants. Les formules gratuites sont souvent limitées en usage ou en fonctionnalités. Par exemple :
- Cloudflare Turnstile est gratuit avec usage illimité.
- Le palier reCAPTCHA Essentials de Google est gratuit jusqu’à 10 000 évaluations par mois ; au-delà ou pour des fonctionnalités avancées, il faut passer à Standard ou Enterprise.
- hCaptcha offre une version gratuite « Basic » et facture le Pro/Entreprise (le plan Pro est aux environs de 99–139 $ par mois pour 100K requêtes).
Vérifiez bien la politique tarifaire de chaque fournisseur selon votre trafic et vos objectifs de conversion.
Scénarios d’utilisation des CAPTCHA
Les CAPTCHA sont habituellement utilisés là où les bots pourraient nuire. Exemples fréquents :
- Flux d’authentification : Protection de l’inscription, la connexion et la récupération de mot de passe contre les attaques de bots. Le CAPTCHA constitue la première barrière contre les attaques automatisées sur les comptes. On peut aussi renforcer la sécurité par des fonctions comme le blocage après tentatives échouées (pour enrayer les attaques bruteforce) ou la MFA adaptative (pour ajouter une couche supplémentaire lorsque le risque est détecté — sans alourdir l’expérience).
- Soumissions de formulaires : Protection des formulaires publics (contact, feedback, commentaires, avis...). Sans CAPTCHA, les spammeurs peuvent envahir ces espaces.
- Actions à forte valeur : Lutte contre la fraude sur les votes en ligne, ventes de billets, promotions ou paiements e-commerce. Le CAPTCHA limite le vote massif automatisé ou la revente de billets (un vote par personne, un billet par personne, etc.).
En positionnant des CAPTCHA sur ces points stratégiques, vous réduisez fortement les abus automatisés tout en gardant le service accessible aux vrais utilisateurs.
Comparatif des fournisseurs CAPTCHA
| Fournisseur CAPTCHA | Expérience utilisateur | Offre & tarifs |
|---|---|---|
| reCAPTCHA v2 (Google) | L’utilisateur doit cliquer sur une case « Je ne suis pas un robot ». Ce clic peut ou non entraîner un puzzle d’images CAPTCHA. | Gratuit (Essentials) jusqu’à 10K évaluations/mois ; puis paliers payants (Standard/Enterprise). L’Enterprise coûte 8 $ jusqu’à 100K, puis 1 $ par 1 000 requêtes supplémentaires. |
| reCAPTCHA v3 (Google) | Invisible, attribue un score de risque en arrière-plan (aucun défi utilisateur). | Même tarification que reCAPTCHA v2 |
| reCAPTCHA Enterprise (Google) | Deux modes interactifs : 1. Sur score (aucun défi). 2. Case à cocher + défi visuel adaptatif. | Tarifs progressifs : gratuit jusqu’à 10K ; 8 $ jusqu'à 100K ; 1 $/1K au-delà. Fonctionnalités bonus : défense de compte, protection contre le SMS frauduleux. |
| Cloudflare Turnstile | Trois modes : 1. Géré : Cloudflare décide qui voit une case à cocher. 2. Non-interactif : tout le monde voit le widget auto-chargé, sans interaction. 3. Invisible : pas de widget ni interaction. Les défis invisibles durent quelques secondes maximum. | Pratiquement gratuit. Offre gratuite : jusqu’à 20 widgets CAPTCHA, 15 domaines par widget, volume illimité. Offre entreprise : widgets illimités. |
| hCaptcha | Tâches interactives de classification d’images (similaire à reCAPTCHA v2). Met l’accent sur la vie privée, mais les puzzles sont parfois complexes. | Gratuit jusqu’à 100K requêtes/mois. Offre Pro ~99 $/mois. Tarifs entreprise sur demande. |
| FunCaptcha (Arkose Labs) | Micro-jeux ludiques (rotation/glissement d’objets, quiz simples). Puzzles plus engageants pour déjouer les bots. | Pas de version gratuite. Solution entreprise uniquement (Arkose Bot Management), contacter pour un devis. |
| Friendly Captcha | Preuve de travail invisible, tout est résolu en arrière-plan sans action de l’utilisateur. | Gratuit usage non commercial (1 domaine, 1 000 requêtes). Plans payants : Starter 9 €/mois (1K), Croissance 39 €/mois (5K), Avancé 200 €/mois (50K), Enterprise sur mesure. |
| BotDetect (Captcha.com) | CAPTCHA image ou audio traditionnel avec lettres/chiffres. | Solution auto-hébergée, licence. Pas d’offre gratuite. Licence APT environ 99 $/an. |
Parmi ces solutions, Cloudflare Turnstile se distingue aujourd’hui : gratuit, simple à intégrer, non intrusif. Turnstile offre un blocage robuste des bots sans imposer de puzzles aux vrais utilisateurs et « ne collecte jamais les données à des fins de ciblage publicitaire », dans le plus grand respect de la vie privée. Pour la majorité des sites, Turnstile propose le meilleur équilibre sécurité/UX/coût.
Simplifier l’intégration CAPTCHA dans vos flux de connexion
La manière la plus simple d’ajouter un CAPTCHA est d’utiliser une plateforme d’identité clé en main.
Logto, une solution IAM pensée pour les développeurs, intègre les principaux fournisseurs comme Google reCAPTCHA Enterprise et Cloudflare Turnstile, ce qui vous permet d’activer le CAPTCHA en quelques clics.
Avec Logto, votre équipe protège l’intégralité de vos parcours d’authentification sans travail de développement complexe (inscription, connexion, récupération de compte, SSO, MFA, gestion multi-tenant, etc.). Découvrez-en plus sur les fonctionnalités CAPTCHA de Logto ou contactez l’équipe si vous souhaitez explorer d’autres options de fournisseurs CAPTCHA.