« Se connecter »
Essai gratuit

Qu'est-ce que le CAPTCHA invisible ? Comment ça marche et pourquoi c'est important

Illustration d'un système CAPTCHA invisible montrant un formulaire de site web, un fantôme symbolisant la vérification cachée, et un tableau de bord étiqueté “Preuve de travail” confirmant “Utilisateur vérifié” par des vérifications automatisées des antécédents.
captcha.eu

Les CAPTCHA invisibles visent à vérifier les utilisateurs en arrière-plan avec peu ou pas d'interaction visible : pas de casse-tête, pas de cases à cocher, pas de friction pour la plupart des utilisateurs. Mais le terme “invisible” recouvre deux approches techniques fondamentalement différentes, et certaines implémentations continuent de relever des défis visibles pour un trafic qu'elles ne peuvent pas classifier. Comprendre la différence permet de choisir la bonne solution et d'éviter les coûts cachés liés à la conformité et à l'accessibilité d'une mauvaise solution.

Temps de lecture estimé : 1 minute

Essayez CAPTCHA.eu gratuitement - sans carte de crédit
Voir toutes les intégrations

En bref

Qu'est-ce que c'est ?

Vérification qui s'exécute automatiquement en arrière-plan avec peu ou pas d'interaction visible : pas de puzzles ou de cases à cocher pour la plupart des utilisateurs, tandis que les bots sont arrêtés.

Deux approches très différentes

Suivi comportemental (basé sur la surveillance) ou preuve de travail (basée sur le calcul). Même résultat pour les utilisateurs, mais collecte de données, cookies et implications RGPD complètement différents.

L'importance du choix

Les systèmes comportementaux nécessitent souvent des cookies et une bannière de consentement. Les systèmes de preuve de travail ne nécessitent ni l'un ni l'autre. Une étude de Stanford a montré que les CAPTCHA traditionnels réduisent les conversions de formulaires de 40% ; les CAPTCHA invisibles peuvent réduire ou éliminer cette baisse de manière significative.

Ce que couvre ce guide

Pourquoi les CAPTCHA visibles sont-ils devenus un problème ?

Les CAPTCHA traditionnels reposaient sur une hypothèse raisonnable : montrez aux utilisateurs quelque chose qu'un ordinateur ne peut pas facilement résoudre (un mot déformé, une grille de feux de circulation, une simple case à cocher), et ceux qui réussissent sont probablement des humains. Pendant un certain temps, cela a fonctionné. Puis deux choses ont changé simultanément.

Tout d'abord, les outils de résolution alimentés par l'IA sont devenus capables de vaincre la plupart des défis visuels plus rapidement et avec plus de précision que les humains. Les outils de résolution alimentés par l'IA et les services de résolution de CAPTCHA ont considérablement affaibli la valeur de sécurité des défis CAPTCHA visuels ; les résolveurs automatisés traitent désormais de nombreux formats courants avec une grande précision. Les fermes de CAPTCHA, services qui transmettent les défis à des travailleurs humains en temps réel, s'occupent de tout le reste. L'argument de sécurité en faveur des CAPTCHA visuels s'est considérablement affaibli.

Deuxièmement, le coût pour les utilisateurs légitimes est devenu plus difficile à justifier. Une étude de l'université de Stanford a montré que les CAPTCHA traditionnels réduisent les conversions de formulaires de 40%. Les utilisateurs souffrant de déficiences visuelles, de handicaps moteurs ou de différences cognitives sont confrontés à des défis qui ne sont pas seulement gênants, mais véritablement inutilisables. La documentation du W3C sur l'accessibilité des CAPTCHA conclut que les défis interactifs créent des obstacles fondamentaux à l'accessibilité que les alternatives et les solutions de contournement ne résolvent pas complètement.

Ces deux pressions combinées, la baisse de l'efficacité de la sécurité et l'augmentation du coût pour l'utilisateur, ont poussé le marché vers la vérification invisible. La question est de savoir ce que signifie l'invisibilité dans la pratique, car la réponse diffère considérablement d'une application à l'autre.

Ce que signifie le CAPTCHA invisible

Un CAPTCHA invisible vérifie les utilisateurs sans leur demander de faire quoi que ce soit. Il n'y a pas de case à cocher, pas d'image à interpréter, pas de texte à taper. La vérification s'exécute automatiquement en arrière-plan pendant que l'utilisateur remplit un formulaire, charge une page ou navigue dans un point final protégé. Lorsque l'utilisateur appuie sur le bouton "Envoyer", la vérification est déjà effectuée.

Du point de vue de l'utilisateur, l'expérience est identique, qu'il soit vérifié immédiatement ou qu'il fasse l'objet d'un contrôle plus intensif, car il ne voit jamais ni l'un ni l'autre. Tel est l'avantage pour l'utilisateur : aucune friction pour les utilisateurs réels, aucun abandon causé par une mesure de sécurité qu'ils n'ont même pas remarquée.

D'un point de vue technique, toutefois, le terme "invisible" ne décrit pas une méthode unique. Il décrit un résultat (pas d'interaction visible) que deux architectures très différentes atteignent de manière très différente. L'une observe ce que font les utilisateurs. L'autre fait travailler l'ordinateur de l'utilisateur en arrière-plan. Les deux produisent le même résultat sans friction, mais les mécanismes sous-jacents, les données qu'ils collectent et les obligations de conformité qu'ils créent sont complètement différents.

Les deux types de CAPTCHA invisibles : pourquoi la différence est-elle importante ?

La distinction que la plupart des articles ne font pas

Les CAPTCHA invisibles semblent être une seule et même chose, mais ils couvrent deux architectures totalement différentes. L'une surveille ce que vous faites. L'autre fait faire à votre navigateur un petit travail de calcul. Cette différence détermine votre exposition à la protection de la vie privée, votre position en matière de conformité au RGPD, la nécessité ou non d'une bannière de consentement aux cookies et la possibilité pour les utilisateurs handicapés de rencontrer un problème. Pour la plupart des utilisateurs, le résultat est le même. Tout ce qui se passe en dessous est différent.

Type 1 : comportemental (basé sur la surveillance)

Type 1 : comportemental - Exemples : reCAPTCHA v3, hCaptcha mode invisible, Cloudflare Turnstile (en partie)

Ces systèmes observent ce que font les utilisateurs et recueillent des signaux : mouvements de la souris, cadence de frappe, comportement de défilement, empreinte digitale du navigateur, réputation IP et, parfois, historique des sites croisés. Ces signaux sont soumis à un modèle de risque et renvoient un score. L'opérateur du site décide de la suite à donner à ce score : autoriser l'utilisateur, le bloquer ou le mettre au défi.

Les systèmes comportementaux sont très efficaces pour distinguer les modèles d'interaction humaine typiques du trafic de robots. Lorsque les signaux comportementaux sont abondants, ils fonctionnent bien. Les implications en matière de respect de la vie privée et de conformité sont toutefois importantes :

  • La collecte de données comportementales, y compris les mouvements de la souris, les habitudes de frappe et les caractéristiques des appareils, constitue un traitement de données à caractère personnel en vertu du RGPD dans la plupart des interprétations, ce qui nécessite une base légale et une documentation.
  • De nombreux systèmes comportementaux utilisent des cookies. Google confirme que les _grecaptcha reste après le changement de processeur reCAPTCHA d'avril 2026. Ce cookie doit faire l'objet d'une évaluation en vertu des règles nationales en matière de protection de la vie privée, indépendamment de l'analyse du RGPD. Dans de nombreuses juridictions de l'UE, les cookies non essentiels nécessitent un consentement explicite, quelle que soit la base légale du RGPD pour le traitement sous-jacent.
  • Lorsque les signaux comportementaux sont limités (parce qu'un utilisateur utilise un VPN, un navigateur de confidentialité ou un bloqueur de publicité, ou parce que la technologie d'assistance crée des modèles d'interaction atypiques), le score de risque augmente et le système peut présenter un défi visible. Ces utilisateurs ont une probabilité disproportionnée d'être des utilisateurs légitimes ayant des préférences en matière de protection de la vie privée ou des besoins en matière d'accessibilité. L'invisibilité n'est pas garantie pour tout le monde.

Invisible ne signifie pas sans cookie. Un CAPTCHA invisible pour les utilisateurs peut toujours installer des cookies de suivi, collecter des données comportementales et déclencher des exigences de consentement en vertu de la directive sur la vie privée et les communications électroniques. L'invisibilité décrit l'expérience de l'utilisateur, pas l'architecture des données. Pour les exploitants de sites web européens, il s'agit de deux questions de conformité distinctes qui nécessitent une analyse séparée.

Type 2 : Preuve de travail (basée sur le calcul)

Type 2 : Preuve de travail - Exemples : CAPTCHA.eu, Friendly Captcha, ALTCHA

Ces systèmes demandent au navigateur de l'utilisateur de résoudre une petite énigme cryptographique en arrière-plan. Le navigateur effectue un calcul, génère une preuve vérifiable et la soumet avec le formulaire. La preuve de travail est le fondement de la sécurité : pas de cookies, pas de profils d'utilisateurs persistants, pas de suivi intersites. De nombreuses implémentations modernes intègrent également des signaux contextuels (timing des requêtes, caractéristiques de l'environnement) afin d'adapter la difficulté des énigmes de manière adaptative, sans établir de profil des utilisateurs individuels.

Pour un utilisateur légitime, ce calcul s'effectue de manière invisible pendant qu'il remplit le formulaire, généralement en moins d'une seconde. Pour un robot tentant des milliers de requêtes par minute, chaque tentative nécessite la résolution de ce puzzle informatique. Le coût de l'attaque augmente linéairement avec le volume, ce qui rend les attaques automatisées à grande échelle économiquement impraticables plutôt que simplement gênantes.

Il s'agit là de la principale différence structurelle entre la preuve de travail et les approches comportementales. Les systèmes comportementaux déclenchent une alarme lorsqu'ils détectent des schémas suspects. Les systèmes de preuve de travail augmentent le coût de chaque tentative, qu'elle soit suspecte ou non. La limitation du débit dit “vous ne pouvez essayer que X fois par minute”. Les systèmes de preuve de travail disent “chaque tentative coûte des calculs”. Un attaquant distribué peut contourner les limitations de débit en répartissant les demandes sur des milliers d'adresses IP. Il ne peut pas contourner la preuve de travail sans résoudre l'énigme à chaque fois.

Les implémentations de preuve de travail les plus solides combinent la preuve de travail avec l'analyse des signaux contextuels, en examinant les modèles de demande, le calendrier et les caractéristiques de l'environnement, afin d'échelonner la difficulté des énigmes en fonction du risque sans établir le profil des utilisateurs individuels. CAPTCHA.eu utilise cette approche en couches : la preuve de travail cryptographique constitue la base de la sécurité, et les signaux contextuels indiquent le niveau de difficulté du puzzle pour une demande donnée. Le résultat est une sécurité plus adaptative que la seule preuve de travail, avec la même architecture de respect de la vie privée : pas de cookies, pas de suivi intersite, pas de profils d'utilisateurs individuels construits ou stockés.

Friendly Captcha adopte une approche similaire, combinant PoW avec ce qu'ils décrivent comme une “base de données mondiale sur les risques” : un pool partagé de renseignements sur les menaces à travers leur base de clients. Ce modèle de base de données partagée est efficace, mais il introduit une couche d'agrégation de données entre les clients. L'analyse des signaux de CAPTCHA.eu fonctionne par demande sans agréger les données entre les sites ou les clients, ce qui constitue une distinction importante pour les organisations ayant des exigences strictes en matière de minimisation des données.

Pourquoi la preuve de travail n'est vraiment pas cuisante, même avec l'analyse du signal

Contrairement aux systèmes comportementaux qui s'appuient sur des cookies pour l'identification intersession, le CAPTCHA à preuve de travail n'a pas besoin de cookies pour fonctionner. La vérification repose sur la preuve cryptographique. Les signaux contextuels (timing, environnement) que les implémentations modernes utilisent pour échelonner la difficulté des énigmes sont évalués par demande et ne nécessitent pas de stockage persistant dans le navigateur ou de suivi entre les sessions. Aucun cookie n'est créé par la couche CAPTCHA, ce qui supprime la base technique d'une exigence de consentement pour les cookies dans le cadre de la directive "vie privée et communications électroniques" dans la plupart des juridictions de l'Union européenne. Aucune surcharge de gestion du consentement n'est introduite lorsque vous l'ajoutez à un flux de connexion ou d'enregistrement.

Coup d'œil sur le comportement et la preuve de travail

La comparaison entre les deux approches est plus claire dans un tableau :

CARACTÉRISTIQUES
COMPORTEMENTAL (RECAPTCHA V3, HCAPTCHA)
PREUVE DE TRAVAIL (CAPTCHA.EU, FRIENDLY CAPTCHA)
Interaction avec l'utilisateur requise
Jamais (sauf s'il est signalé)
Jamais
Données collectées
Signaux comportementaux, empreintes digitales de l'appareil, éventuellement historique intersites
Preuve de travail cryptographique et analyse des signaux contextuels ; pas de cookies, pas de profils d'utilisateurs individuels, pas de suivi intersites.
Cookies déposés
Oui (par exemple, _grecaptcha persiste après avril 2026)
Non
Le consentement à la protection de la vie privée est probablement nécessaire
Oui, dans la plupart des juridictions de l'UE
Non
Retombe à un défi visible
Oui, pour les utilisateurs signalés comme suspects
Dans la plupart des cas, la difficulté s'ajuste de manière invisible, sans qu'il y ait de défi visuel. Certains produits de PoW offrent également une vérification progressive facultative pour les cas à haut risque.
Mécanisme de sécurité
Cotation des risques basée sur la surveillance comportementale
Coût de calcul par requête ; évolue en fonction du volume d'attaques
Impact sur l'accessibilité
Les utilisateurs de l'AT peuvent déclencher des faux positifs et recevoir des défis visibles.
Dans les implémentations sans défi, entièrement accessibles par l'architecture. Certains produits de PoW offrent également une vérification progressive optionnelle pour les cas à plus haut risque.
Hébergement de données dans l'UE
Basé aux États-Unis (Google, Cloudflare) sauf si le point de terminaison de l'UE est sélectionné
CAPTCHA.eu : Autriche ; Friendly Captcha : Allemagne

CAPTCHA.eu : CAPTCHA invisible avec preuve de travail, hébergé en Autriche

Pas de puzzle d'images. Pas de cookies. Pas de profilage comportemental. Toutes les données sont traitées en Autriche conformément à la législation de l'UE. Certifié de manière indépendante par TÜV Austria selon WCAG 2.2 AA. 100 vérifications gratuites pour commencer.

Démarrer l'essai gratuit
Voir toutes les intégrations

CAPTCHA invisible et accessibilité

C'est en matière d'accessibilité que les deux approches divergent le plus visiblement dans la pratique. Pour la plupart des utilisateurs, les deux approches sont identiques : il ne se passe rien. Pour les utilisateurs qui s'appuient sur des technologies d'assistance, la différence est importante.

Les systèmes CAPTCHA comportementaux déterminent le risque en fonction des modèles d'interaction. Les utilisateurs qui naviguent à l'aide d'un clavier uniquement, de lecteurs d'écran, de dispositifs d'accès à la commutation ou d'autres technologies d'assistance produisent des modèles d'interaction qui diffèrent de ceux des utilisateurs typiques de souris et de clavier. Ces schémas atypiques peuvent déclencher des scores de risque élevés, amenant le système à se rabattre sur un défi visible. L'utilisateur qui a le plus besoin d'un accès sans friction est celui qui est le plus susceptible de subir des frictions.

La note du W3C sur l'inaccessibilité des CAPTCHA documente directement cette tension : “la nature même de la tâche interactive exclut de manière inhérente de nombreuses personnes handicapées”. Le critère de réussite 3.3.8 des WCAG 2.2 (Authentification accessible, niveau AA) va plus loin en interdisant les tests de fonctions cognitives dans les flux d'authentification. Ce critère est devenu juridiquement contraignant en vertu de la loi européenne sur l'accessibilité pour les entreprises desservant des clients de l'UE à partir de juin 2025.

Les CAPTCHA à l'épreuve du travail évitent complètement ce problème. Il n'y a pas de défi à déclencher, pas de modèle à mal lire, pas de solution de repli qui exclut qui que ce soit. Le calcul cryptographique s'effectue de la même manière, quelle que soit la façon dont l'utilisateur navigue, quel que soit l'appareil qu'il utilise ou quelle que soit la technologie d'assistance active. Il n'y a pas d'alternative accessible à fournir car aucun défi n'est présenté au départ.

CAPTCHA.eu détient la certification indépendante WCAG 2.2 AA du TÜV Autriche, vérifiée par rapport à la norme d'accessibilité complète. Cette certification couvre le processus de vérification lui-même, et pas seulement l'interface qui l'entoure.

CAPTCHA invisible et taux de conversion

L'analyse de rentabilité des CAPTCHA invisibles est simple : une vérification que les utilisateurs ne remarquent jamais ne peut pas les inciter à abandonner un formulaire. Les CAPTCHA traditionnels créent une étape distincte dans un flux qui n'en comportait pas auparavant. Certains utilisateurs abandonnent à cette étape. Les CAPTCHA invisibles suppriment ou réduisent considérablement cette friction.

Une étude de l'université de Stanford a quantifié les frictions : les CAPTCHA traditionnels réduisent les conversions de formulaires de 40%. La recherche de HUMAN Security a révélé que 40% des acheteurs réels avaient abandonné un achat spécifiquement à cause de la friction des CAPTCHA. Ces chiffres reflètent un type spécifique d'utilisateur à fort potentiel : quelqu'un qui voulait terminer l'action mais qui s'est arrêté à cause du contrôle de sécurité.

Les flux pour lesquels cela est le plus important sont précisément les flux les plus susceptibles de comporter des CAPTCHA : connexion, enregistrement, paiement, formulaires de contact et réinitialisation de mot de passe. Il s'agit des interactions à plus forte valeur ajoutée sur la plupart des sites web. Les CAPTCHA invisibles les protègent sans devenir une source d'abandon au sein de ces interactions.

La preuve de travail peut ajouter un avantage secondaire en termes de conversion, car les implémentations sans défi ne sont pas en mesure de résoudre les problèmes visibles lorsque les signaux sont limités ou ambigus. Les systèmes comportementaux qui montrent des difficultés aux utilisateurs “suspects” montrent également des difficultés aux utilisateurs soucieux de leur vie privée, aux utilisateurs de VPN et aux utilisateurs de technologies d'assistance, groupes que l'évaluation comportementale a tendance à mal classer. La preuve de travail traite tous ces utilisateurs de la même manière : vérification invisible, pas de défi, pas de friction.

Quels sont les flux qui bénéficient le plus d'un CAPTCHA invisible ?

Les CAPTCHA invisibles améliorent la sécurité et l'expérience des utilisateurs sur tous les flux où le trafic de robots pose problème. Donnez la priorité à ces points d'extrémité :

  • Formulaires de connexion. C'est la cible principale des attaques par force brute et du bourrage d'informations d'identification. Les CAPTCHA invisibles augmentent le coût de calcul de chaque tentative de connexion, ce qui rend les attaques automatisées à grande échelle impraticables sans aucun impact sur les utilisateurs légitimes.
  • Inscription et création d'un compte. Les robots créent de faux comptes à des fins de fraude, de spam et d'abus promotionnels. Le CAPTCHA invisible lors de l'inscription bloque la création de faux comptes en masse avant qu'ils n'atteignent votre base de données.
  • Flux de réinitialisation du mot de passe. Les attaquants utilisent les flux de réinitialisation pour énumérer les comptes valides ou initier la prise de contrôle des comptes. La protection du point d'arrivée de la réinitialisation par des CAPTCHA invisibles ajoute une couche sans ajouter de friction à un moment déjà frustrant pour les utilisateurs légitimes.
  • Formulaires de contact et de prospects. Les spams de formulaires entraînent des coûts opérationnels : ils remplissent les systèmes de gestion de la relation client de données inutiles et font perdre du temps aux équipes. Les CAPTCHA invisibles réduisent les soumissions de spam sans affecter les demandes authentiques.
  • Flux d'achat et de paiement. Les attaques par carte testent les numéros de carte volés à grande échelle contre les points de passage en caisse. Les CAPTCHA invisibles augmentent le coût de chaque tentative de test et protègent les revenus sans ralentir les clients légitimes.
  • Points d'extrémité d'authentification de l'API. Souvent négligés en raison de l'absence d'interface visuelle, les points de terminaison des API sont des cibles fréquentes pour les abus automatisés. Invisible CAPTCHA s'intègre à la couche API sans modifier l'expérience du développeur pour les appelants légitimes.

La dimension européenne : RGPD, ePrivacy et la question des cookies

Les exploitants de sites web européens sont confrontés à une question de conformité spécifique que la plupart des articles sur les CAPTCHA invisibles n'abordent pas directement : même si un CAPTCHA est invisible pour les utilisateurs, crée-t-il des obligations en matière de cookies ou de traitement des données qui nécessitent une bannière de consentement ?

La réponse dépend du type de CAPTCHA invisible que vous utilisez, et elle n'est pas la même pour les deux types.

Pour les CAPTCHA invisibles comportementaux, la réponse est souvent oui. Google confirme dans sa propre FAQ d'avril 2026 que les _grecaptcha reste inchangé après le passage du contrôleur au processeur de reCAPTCHA. Ce cookie doit faire l'objet d'une évaluation en vertu des règles nationales en matière de protection de la vie privée, une analyse distincte de celle du RGPD. Dans la plupart des États membres de l'Union européenne, les cookies non essentiels doivent faire l'objet d'un consentement préalable avant d'être installés. La question de savoir si le cookie _grecaptcha peut être considéré comme essentiel à des fins de sécurité est une question juridique qui dépend de la mise en œuvre et de la juridiction, et les régulateurs en France (CNIL) et en Autriche ont constaté que les déploiements de reCAPTCHA sans cadre de consentement approprié n'étaient pas conformes. Résultat pratique : les CAPTCHA invisibles du point de vue comportemental nécessitent souvent une mise à jour de la bannière de cookies et potentiellement un flux de consentement que le mot “invisible” pourrait vous faire croire que vous avez évité.

Pour les CAPTCHA invisibles à valeur probante, la réponse est non pour la couche CAPTCHA elle-même. Aucun cookie n'est installé, aucun stockage persistant dans le navigateur n'est utilisé et aucune donnée personnelle comportementale n'est collectée ou transmise par le mécanisme CAPTCHA. Pour les CAPTCHA à preuve de travail sans cookie, la couche CAPTCHA supprime généralement la question du consentement aux cookies et réduit considérablement les frais généraux de mise en conformité. Les opérateurs doivent toujours documenter le service de manière précise dans leur avis de confidentialité et dans les documents d'évaluation des fournisseurs. CAPTCHA.eu traite toutes les données en Autriche sous la juridiction de l'UE, avec un DPA standard disponible. Tous les traitements ont lieu dans la juridiction de l'UE.

Pour les exploitants de sites web qui ont déjà investi dans une infrastructure de gestion du consentement, cette distinction peut sembler mineure. Pour les opérateurs qui tentent de minimiser les coûts de mise en conformité des flux de connexion et d'authentification, où la demande de consentement pour les cookies avant la connexion crée ses propres problèmes de convivialité, il s'agit d'une différence pratique significative.

L'analyse ci-dessus décrit le cadre technique et juridique général. Les obligations de conformité spécifiques dépendent de votre mise en œuvre, de la législation nationale applicable et de l'avis de votre conseiller juridique. Pour plus de détails sur la manière dont les modifications apportées au reCAPTCHA d'avril 2026 affectent spécifiquement la conformité au RGPD, consultez notre analyse : reCAPTCHA est-il conforme au RGPD en 2026 ?

Ajoutez dès aujourd'hui un CAPTCHA invisible et sans cuisson à votre flux de connexion

CAPTCHA.eu s'intègre en quelques minutes avec WordPress, TYPO3, Keycloak, Magento, et des piles personnalisées. Hébergé en Autriche, pas de cookies, pas de puzzles, pas de frais de conformité.

Démarrer l'essai gratuit
Voir comment fonctionne l'abus de connexion

Comment évaluer un CAPTCHA invisible pour votre site web ?

Quatre questions permettent de couper court à la plupart des discours marketing sur les CAPTCHA invisibles et d'en venir à la réalité opérationnelle :

  • Le site installe-t-il des cookies ou recueille-t-il des données personnelles ?

    Dans l'affirmative, vous devez déterminer si ces cookies nécessitent un consentement ePrivacy dans vos juridictions, et si le traitement sous-jacent nécessite une base légale RGPD et une mise à jour de l'avis de confidentialité. Il ne s'agit pas d'une rupture, mais il s'agit d'un risque qu'une alternative de preuve de travail élimine complètement.

  • Montrera-t-il un jour un défi visible à un utilisateur réel ?

    Les systèmes comportementaux se rabattent sur des défis visibles pour les utilisateurs qu'ils ne peuvent pas classer avec certitude. Les systèmes de preuve de travail ajustent plutôt la difficulté de calcul, tout en restant invisibles. Si votre public comprend des utilisateurs d'outils de protection de la vie privée, des utilisateurs de VPN ou des utilisateurs de technologies d'assistance, un système comportemental posera des problèmes à certains d'entre eux.

  • Est-il certifié de manière indépendante par rapport à une norme d'accessibilité ?

    L'autocertification est facile à revendiquer. Une certification indépendante par rapport aux WCAG 2.2 AA, délivrée par un organisme accrédité (comme le TÜV Austria pour CAPTCHA.eu), signifie que la déclaration d'accessibilité a été vérifiée de manière externe.

  • Où les données sont-elles traitées ?

    Pour les opérateurs européens, l'Autriche ou l'Allemagne sont des juridictions de l'UE sans complexité de transfert transfrontalier. Les fournisseurs basés aux États-Unis exigent des mécanismes de transfert actifs (clauses contractuelles types ou équivalentes) qui nécessitent une documentation et une révision périodique.

Appliquer ce cadre aux principales options :

reCAPTCHA v3 : Comportemental. Définit le cookie _grecaptcha (confirmé persistant après avril 2026). Peut revenir à des défis visibles. Pas de certification d'accessibilité indépendante pour le mode invisible. Traitement basé aux États-Unis. Nécessite une gestion continue de la conformité pour les déploiements européens.

Tourniquet Cloudflare : En partie comportemental, en partie non interactif. Définit un cookie cf_clearance dans certaines configurations. En général, la plupart des utilisateurs ne reviennent pas aux puzzles, mais cela peut poser des problèmes dans certaines conditions. Positionnement axé sur la protection de la vie privée, mais basé aux États-Unis. Meilleur que reCAPTCHA en matière de protection de la vie privée, mais pas totalement sans cookie.

CAPTCHA.eu : Preuve de travail combinée à une analyse contextuelle des signaux : pas de cookies, pas de profilage individuel des utilisateurs, pas d'agrégation de données intersites. L'analyse des signaux permet d'échelonner la difficulté du casse-tête en fonction de la demande, sans établir de profils comportementaux. Jamais de défis de repli. Certifié de manière indépendante par TÜV Austria selon WCAG 2.2 AA. Basé en Autriche, toutes les données sont traitées conformément à la législation européenne. Tarification transparente avec un niveau gratuit. Conçu spécifiquement pour répondre aux exigences de conformité européennes.

Captcha convivial : Preuve de travail combinée à des signaux de risque provenant d'une base de données mondiale partagée sur les menaces dans l'ensemble de leur base de clients. Pas de cookies. Pas de défis de repli. Certifié de manière indépendante par rapport à WCAG 2.2 AA. Basé en Allemagne. Forte position de conformité avec l'UE. Le modèle de risque de la base de données partagée est efficace ; les organisations ayant des exigences strictes en matière de minimisation des données par demande devraient le comparer à leurs propres politiques. Prix d'entreprise pour les niveaux supérieurs.

ALTCHA : Preuve de travail en source ouverte. L'option d'auto-hébergement offre une souveraineté maximale des données. Pas de cookies, pas de flux de données de tiers. Conforme à la norme WCAG 2.2 AA. L'hébergement et la maintenance nécessitent des ressources techniques. Convient aux équipes qui ne tolèrent pas la manipulation de données par des tiers.

Questions fréquemment posées

Qu'est-ce qu'un CAPTCHA invisible ?

Le CAPTCHA invisible est une forme de protection contre les robots qui vérifie les utilisateurs en arrière-plan sans leur demander de résoudre des énigmes, de cliquer sur des cases à cocher ou d'interagir avec un défi. La vérification s'effectue automatiquement pendant que l'utilisateur remplit un formulaire ou effectue une action sur la page. Du point de vue de l'utilisateur, il ne se passe rien. Les robots sont identifiés et bloqués.

Le CAPTCHA invisible est-il identique à reCAPTCHA v3 ?

Non. reCAPTCHA v3 est un exemple de CAPTCHA invisible, et il utilise une approche comportementale : il observe la façon dont les utilisateurs interagissent avec la page et attribue un score de risque. Les CAPTCHA invisibles à l'épreuve du travail (utilisés par CAPTCHA.eu et Friendly Captcha) fonctionnent différemment : ils demandent au navigateur de résoudre une petite énigme cryptographique en arrière-plan. Tous deux ne produisent aucune interaction visible pour la plupart des utilisateurs, mais ils diffèrent considérablement en ce qui concerne la collecte de données, les cookies, les implications du GDPR et le comportement en matière d'accessibilité.

Le CAPTCHA invisible fonctionne-t-il sans cookies ?

Cela dépend de la mise en œuvre. Les CAPTCHA invisibles comportementaux (reCAPTCHA v3, hCaptcha) utilisent généralement des cookies. Google confirme que le cookie _grecaptcha persiste après les modifications apportées à reCAPTCHA en avril 2026. Les CAPTCHA invisibles à l'épreuve du travail (CAPTCHA.eu, Friendly Captcha, ALTCHA) ne nécessitent pas de cookies. La vérification repose sur la preuve cryptographique et non sur l'identification de l'utilisateur entre les sessions.

Le CAPTCHA invisible est-il accessible aux utilisateurs handicapés ?

Les implémentations de proof-of-work sans défi peuvent être entièrement accessibles par l'architecture parce qu'elles ne reposent pas sur des tests visuels, audio ou cognitifs. Il n'y a rien à voir, à entendre, à cliquer ou à résoudre. Certains produits de preuve de travail offrent en outre une vérification progressive facultative pour les cas à haut risque, mais CAPTCHA.eu et les implémentations invisibles similaires ne présentent jamais de défi, quel que soit le niveau de risque. Les CAPTCHA invisibles du point de vue comportemental peuvent revenir à des défis visibles pour les utilisateurs qui produisent des modèles d'interaction atypiques, ce qui inclut de nombreux utilisateurs de technologies d'assistance. Le critère de réussite 3.3.8 des WCAG 2.2 interdit les tests de fonctions cognitives dans les flux d'authentification, ce qui fait de la preuve de travail l'option la plus conforme pour les flux de connexion et d'enregistrement.

Les robots peuvent-ils contourner les CAPTCHA invisibles ?

Des attaquants sophistiqués et disposant de ressources suffisantes peuvent déjouer la plupart des contrôles de sécurité s'ils disposent de suffisamment de temps et de ressources. Cependant, les CAPTCHA à preuve de travail augmentent le coût de chaque tentative sur le plan informatique, ce qui signifie que les attaques automatisées à grande échelle deviennent économiquement impraticables plutôt que techniquement impossibles. Un robot effectuant des milliers de tentatives par minute doit désormais résoudre une énigme cryptographique pour chacune d'entre elles. Le CAPTCHA comportemental repose sur la détection de schémas suspects, que des attaquants motivés peuvent apprendre à imiter. Aucune de ces deux solutions n'est parfaite, c'est pourquoi les CAPTCHA fonctionnent mieux en tant que couche d'une stratégie de défense en profondeur, aux côtés de l'AMF et de la limitation du débit.

Le CAPTCHA invisible nécessite-t-il une bannière de consentement RGPD?

Pour les CAPTCHA à preuve de travail sans cookie, la couche CAPTCHA ne crée généralement pas d'exigence propre en matière de consentement aux cookies. Aucun cookie n'est installé et aucune donnée personnelle comportementale n'est collectée par le mécanisme CAPTCHA. Les opérateurs doivent néanmoins évaluer leur mise en œuvre complète et les exigences légales locales. Pour le CAPTCHA comportemental invisible : cela dépend de votre mise en œuvre et de votre juridiction, mais dans la plupart des États membres de l'UE, la réponse est oui. Le cookie persistant et la collecte de données comportementales nécessitent à la fois une base légale GDPR et une évaluation en vertu des règles nationales ePrivacy, ce qui nécessite généralement un consentement. Le choix de la preuve de travail élimine entièrement cette question de conformité.

Quelle est la différence entre un CAPTCHA invisible et reCAPTCHA v2 Invisible ?

reCAPTCHA v2 Invisible est un produit Google spécifique qui utilise toujours le mécanisme de contestation de reCAPTCHA v2 ; il retarde simplement son affichage jusqu'à ce que l'utilisateur déclenche une action signalée. Lorsqu'il est signalé, il présente le défi familier de sélection d'images. reCAPTCHA v3 supprime entièrement ce défi et utilise un score de risque à la place. Les CAPTCHA invisibles à preuve de travail modernes vont plus loin : pas de repli basé sur un score, pas de défi visuel, jamais, quel que soit le niveau de risque attribué à une demande.

Comment le CAPTCHA avec preuve de travail peut-il arrêter les robots s'il n'y a pas de défi ?

La preuve de travail augmente le coût de calcul de chaque demande. Pour un utilisateur légitime qui soumet un seul formulaire, le calcul est négligeable et s'effectue en arrière-plan en quelques millisecondes. Pour un robot qui soumet des milliers de demandes par minute, chaque tentative nécessite la résolution d'une énigme cryptographique. Le coût total de calcul de l'attaque devient suffisamment important pour la rendre économiquement inintéressante. Contrairement au blocage par adresse IP (que les attaquants distribués contournent), le coût de calcul ne peut être évité : il s'applique quel que soit le nombre d'adresses IP ou d'appareils différents utilisés par l'attaquant.

Lecture associée

Sources primaires

W3C : Inaccessibilité du CAPTCHANote du W3C faisant autorité sur les obstacles à l'accessibilité des CAPTCHA traditionnels et les limites des solutions de contournement.
WCAG 2.2 Critère de réussite 3.3.8 Authentification accessible (minimum)le critère de niveau AA interdisant les tests de fonctions cognitives dans les flux d'authentification
FAQ reCAPTCHA de Google (avril 2026)Le cookie _grecaptcha persiste après le changement de rôle entre le contrôleur et le processeur.
CAPTCHA.eu Certification WCAG 2.2 AA: certifié de manière indépendante par le TÜV Autriche
Étude de l'Université de Stanford : Les CAPTCHA réduisent les conversions de formulaires jusqu'à 40%
Loi européenne sur l'accessibilité (directive 2019/882): WCAG 2.2 AA légalement contraignant pour les entreprises de l'UE à partir de juin 2025

Messages récents

fr_FRFrench
en_USEnglish de_DEGerman es_ESSpanish nl_NLDutch it_ITItalian fr_FRFrench