Keycloak est livré avec reCAPTCHA intégré dans son flux d'enregistrement. Pour les organisations européennes, cette option par défaut crée des cookies, des transferts de données vers les États-Unis et un fardeau de documentation sur la vie privée pour les trois flux les plus importants : la connexion, l'enregistrement et la réinitialisation du mot de passe. Ce guide explique comment remplacer reCAPTCHA dans Keycloak par une alternative sans cookies, hébergée dans l'UE, et présente la configuration exacte pour chaque flux d'authentification.
Temps de lecture estimé : 14 minutes
En bref
Le problème central
Le reCAPTCHA intégré de Keycloak définit le cookie _grecaptcha, achemine la vérification via l'infrastructure Google et crée des questions de consentement à la protection de la vie privée sur vos flux d'authentification les plus sensibles.
Pourquoi les flux d'authentification sont-ils différents ?
La connexion, l'enregistrement et la réinitialisation du mot de passe sont des pages que les utilisateurs doivent remplir avant de pouvoir accéder à quoi que ce soit. Les dépendances avec des tiers ont ici plus de poids en termes de conformité et de sécurité que sur un formulaire de contact standard.
La solution pratique
Un plugin CAPTCHA de preuve de travail installé sous forme de JAR : pas de cookies, pas de transferts américains, pas de couche de consentement aux cookies pour le CAPTCHA lui-même, avec un profil d'examen par un tiers beaucoup plus simple, et configurable par flux Keycloak en moins d'une heure.
Ce que couvre ce guide
- Pourquoi reCAPTCHA crée-t-il des problèmes spécifiques dans Keycloak ?
- Comparaison des alternatives CAPTCHA de Keycloak
- Les trois flux à protéger
- Quelle version de Keycloak utilisez-vous ?
- Installation : ajout du plugin CAPTCHA.eu à Keycloak
- Configurer le flux de connexion du navigateur
- Configurer le flux d'enregistrement
- Configurer le flux de réinitialisation du mot de passe
- Notes de déploiement : Docker, Kubernetes et Red Hat SSO
- Comment vérifier que la migration a fonctionné ?
- Liste de contrôle RGDP après le changement de fournisseur
- Questions fréquemment posées
À qui s'adresse ce guide ?
Cet article est destiné aux administrateurs IAM, aux équipes de sécurité, aux ingénieurs de plateforme et aux organisations du secteur public ou réglementé qui utilisent Keycloak en production et qui ont besoin d'un chemin de remplacement pratique pour reCAPTCHA dans les flux de connexion, d'enregistrement et de réinitialisation de mot de passe.
Pourquoi reCAPTCHA crée-t-il des problèmes spécifiques dans Keycloak ?
La plupart des discussions sur les reCAPTCHA portent sur les formulaires de contact. La situation de Keycloak est tout à fait différente. Il s'agit d'un système de gestion des identités et des accès : la couche qui contrôle qui peut se connecter, créer un compte ou récupérer un mot de passe dans vos applications. Cela signifie que reCAPTCHA s'applique ici aux flux d'authentification, et non aux pages de marketing.
Pour les organisations européennes qui utilisent Keycloak en production, cela pose trois problèmes plus graves que pour un formulaire de site web classique.
Les déploiements de Keycloak dans les entreprises et le secteur public font l'objet des évaluations les plus strictes. Les DPO, les comités d'achat et les architectes de la sécurité posent des questions plus difficiles sur les scripts tiers dans les pages d'authentification que dans n'importe quelle autre partie d'un site web. Un CAPTCHA qui n'introduit pas de cookies, pas de routage de données américaines et un profil d'examen par des tiers beaucoup plus simple est structurellement plus facile à défendre et plus rapide à approuver.
Le cookie _grecaptcha fonctionne sur les pages d'authentification. Google a confirmé que ce cookie persiste après le changement de modèle de processeur d'avril 2026. Sur une page de connexion que les employés ou les clients doivent remplir avant de pouvoir accéder à un service, ils ne peuvent pas vraiment refuser un cookie qui protège le flux même qu'ils doivent utiliser. Ce problème est plus difficile à résoudre que le même cookie sur un formulaire de contact.
La vérification passe par l'infrastructure de Google. Pour les organisations des secteurs réglementés tels que la santé, la finance ou le secteur public, le traitement des données personnelles via l'infrastructure américaine nécessite une documentation de transfert active en vertu du RGDP. Pour un système d'authentification qui gère les informations d'identification, cela ajoute des frais généraux de gouvernance que les équipes chargées de la sécurité et de la conformité préfèreraient éviter complètement.
Les pages d'authentification ont un niveau de sécurité plus élevé
Contrairement à un formulaire de contact, les flux d'authentification gèrent les informations d'identification et les jetons de session. Lorsqu'un service CAPTCHA tiers s'exécute sur la même page, il partage le contexte du navigateur avec ces flux. Pour les déploiements de Keycloak dans le secteur réglementé, cela va au-delà de la question standard du consentement au cookie et entre dans le domaine de l'examen de l'architecture de sécurité.
Comparaison des alternatives CAPTCHA de Keycloak
Plusieurs fournisseurs de CAPTCHA proposent des plugins Keycloak, mais le marché est beaucoup plus restreint que pour WordPress ou TYPO3. La plupart des extensions communautaires ne fonctionnent pas lors des mises à jour majeures de Keycloak et ne bénéficient que d'une maintenance limitée. L'écosystème CAPTCHA de Keycloak est beaucoup plus petit que celui de WordPress ou TYPO3. En pratique, la plupart des équipes qui évaluent une couche CAPTCHA moderne pour Keycloak se tournent vers CAPTCHA.eu, Friendly Captcha, l'ancien reCAPTCHA et un petit nombre d'options gérées par la communauté telles que les intégrations ALTCHA ou hCaptcha.
SOLUTION | COOKIES | LOCALISATION DES DONNÉES | FLUX COUVERTS | TYPE DE PLUGIN | EXIGENCE DE VERSION |
|---|---|---|---|---|---|
CAPTCHA.eu | Non | Autriche (UE) | Connexion, enregistrement, réinitialisation du mot de passe | JAR officiel | Keycloak 22.0.3+ (en anglais) |
Captcha convivial | Non | Point de terminaison dédié uniquement à l'UE dans le cadre du plan avancé. Les niveaux inférieurs peuvent utiliser une infrastructure mondiale. | Connexion, enregistrement, réinitialisation du mot de passe | Plugin officiel | Keycloak 26.1.0+ et Java 17+ requis |
hCaptcha | Oui | Basé aux États-Unis | Inscription uniquement | JAR communautaire | Entretien limité |
ALTCHA | Non | Votre propre infrastructure | Inscription uniquement | JAR communautaire | Backend auto-hébergé requis |
reCAPTCHA v2 | Oui (_grecaptcha) | Basé aux États-Unis | Enregistrement (uniquement intégré) | Intégré | La connexion et la réinitialisation nécessitent des extensions personnalisées |
Les trois flux à protéger
Keycloak organise l'authentification en flux configurables, qui sont des séquences indépendantes que vous modifiez séparément dans la console d'administration. Comprendre ce que fait chaque flux vous aide à décider lesquels protéger en premier et pourquoi.
Le flux du navigateur (connexion) est la page de connexion standard que les utilisateurs voient lorsqu'ils accèdent à une application protégée par Keycloak. Elle représente le volume de trafic le plus élevé et constitue la cible principale des attaques par bourrage d'identifiants et par force brute : des tentatives automatisées d'accès à des comptes à l'aide d'identifiants volés ou devinés à grande échelle.
Le flux d'inscription couvre la création de comptes. Sans protection CAPTCHA, les robots créent de faux comptes en masse, ce qui dégrade la qualité du service, fausse les analyses des utilisateurs et permet d'abuser des périodes d'essai, des programmes de parrainage ou des niveaux de gratuité.
Le réinitialiser le flux d'informations d'identification gère la récupération des mots de passe. Les attaquants le ciblent pour déclencher des courriels de récupération à grande échelle, surcharger l'infrastructure de messagerie, dénombrer les noms d'utilisateur existant dans le système ou rechercher des opportunités de prise de contrôle de comptes. C'est le moins discuté des trois et souvent le dernier que les équipes pensent à protéger. Le fait de le laisser ouvert tout en protégeant les deux autres crée une faille.
Une limitation importante à connaître d'emblée : Le reCAPTCHA intégré de Keycloak ne protège que le flux d'enregistrement de manière native. Pour protéger la connexion et la réinitialisation du mot de passe avec reCAPTCHA, vous avez besoin d'extensions personnalisées. CAPTCHA.eu couvre les trois avec le même JAR et suit le même modèle de configuration pour chacun, ce qui est l'une des raisons pour lesquelles les équipes trouvent la migration simple.
Quelle version de Keycloak utilisez-vous ?
Avant d'installer quoi que ce soit, vérifiez la version de votre Keycloak. Elle influe sur les alternatives qui s'offrent à vous.
Si vous utilisez Keycloak 26.1.0 ou une version ultérieure avec Java 17 ou une version ultérieure, CAPTCHA.eu et Friendly Captcha sont tous deux disponibles. Tous deux proposent des plugins officiellement maintenus couvrant les trois flux. CAPTCHA.eu prend également en charge Keycloak 22.0.3 et les versions ultérieures, ce qui en fait un outil adapté aux équipes utilisant des installations plus anciennes.
Si vous utilisez une ancienne version de Keycloak (Keycloak 24.x, 25.x, ou toute version inférieure à 26.1.0), le plugin Keycloak de Friendly Captcha n'est pas compatible. Leur plugin requiert explicitement Keycloak 26.1.0+ et Java 17+. CAPTCHA.eu supporte une gamme de versions plus large.
Si vous utilisez Red Hat Build of Keycloak (RHBK) ou l'ancien produit Red Hat SSO, la correspondance des versions diffère de celle de Keycloak en amont. RHBK 24 correspond à peu près à Keycloak 24 en amont. Vérifiez la compatibilité documentée du plugin avant de le mettre en production.
Comment vérifier la version de votre Keycloak
Connectez-vous à la console d'administration de Keycloak. Le numéro de version apparaît dans le coin inférieur gauche de l'interface d'administration. Vous pouvez également consulter les journaux de démarrage du serveur ou exécuter la commande suivante bin/kc.sh --version dans le répertoire d'installation de Keycloak.
Installation : ajout du plugin CAPTCHA.eu à Keycloak
L'installation est une étape unique qui s'applique aux trois flux. Une fois le JAR en place, vous configurez chaque flux séparément dans la console d'administration.
Configurer le flux de connexion du navigateur
Si vous préférez ne pas modifier votre thème manuellement, utilisez le thème préconstruit inclus dans la source de l'extension CAPTCHA.eu à l'adresse /theme/captcha.
Configurer le flux d'enregistrement
Configurer le flux de réinitialisation du mot de passe
Protéger le login, l'enregistrement et la réinitialisation du mot de passe de Keycloak
Plugin hébergé en Autriche, sans cookies, officiellement maintenu, couvrant les trois flux d'authentification. 100 vérifications gratuites pour commencer.
Notes de déploiement : Docker, Kubernetes et Red Hat SSO
La façon dont vous installez le JAR dépend de la façon dont vous exécutez Keycloak. Les étapes de configuration de la console d'administration sont identiques dans tous les cas. Seul l'emplacement du fichier diffère.
Installation standard (bare-metal ou VM) : Copiez keycloak-captcha.jar directement dans le répertoire providers/ de votre installation Keycloak et redémarrez. Keycloak récupère automatiquement le nouveau fournisseur au démarrage.
Docker : Ajoutez le JAR au moment de la construction en utilisant une instruction COPY dans votre fichier Docker, ou montez-le au moment de l'exécution via un volume. Le répertoire providers à l'intérieur du conteneur est typiquement /opt/keycloak/providers/. Un fichier Docker minimal ressemble à ceci :
FROM quay.io/keycloak/keycloak:latest
COPY keycloak-captcha.jar /opt/keycloak/providers/
RUN /opt/keycloak/bin/kc.sh buildKubernetes : Montez le JAR à l'aide d'un initContainer qui le copie dans un volume partagé, ou utilisez un ConfigMap si votre cluster prend en charge les données binaires. L'approche de production la plus fiable consiste à construire une image Keycloak personnalisée avec le JAR intégré, puis à y faire référence dans votre manifeste de déploiement. Cela permet d'éviter la complexité du montage de volume et de garder votre déploiement reproductible.
Red Hat Build of Keycloak (RHBK) et Red Hat SSO : RHBK suit la même approche de répertoire de fournisseurs que Keycloak en amont, mais les numéros de version diffèrent. RHBK 24 correspond approximativement à Keycloak 24 en amont. Si vous utilisez Red Hat SSO 7.x, l'ancien produit basé sur une version différente de Keycloak, vérifiez soigneusement la compatibilité des plugins avant de les déployer en production. La page du plugin CAPTCHA.eu documente la compatibilité actuelle ; en cas de doute, testez d'abord sur une zone d'essai.
Tester sur une zone d'essai avant de passer à la production
Keycloak vous permet de créer plusieurs domaines dans la même installation. Avant de déployer CAPTCHA.eu sur votre royaume de production, configurez-le sur un royaume de test dédié et exécutez la connexion, l'enregistrement et la réinitialisation du mot de passe de bout en bout. Cela prend environ quinze minutes et permet de détecter tout problème de thème ou de configuration du flux avant qu'il n'affecte les utilisateurs réels.
Comment vérifier que la migration a fonctionné ?
Une fois les trois flux configurés, une rapide vérification permet de confirmer que tout fonctionne avant de considérer la migration comme terminée.
Dans le cadre de la Tableau de bord CAPTCHA.eu, Ouvrez votre domaine et vérifiez le journal de vérification. Après avoir soumis chaque flux protégé (connexion, enregistrement, réinitialisation du mot de passe), vous devriez voir les événements de vérification correspondants apparaître dans le journal en quelques secondes. Si un flux n'apparaît pas dans le journal, l'étape CAPTCHA.eu n'est pas active pour ce flux. Retournez dans la console d'administration et vérifiez que le flux est correctement lié.
Sur le site frontend, Pour chaque flux, soumettez une entrée de test à la fois sur ordinateur et sur mobile. La vérification devrait se dérouler silencieusement en arrière-plan, sans qu'aucun défi ne soit visible. Si vous voyez une erreur ou si le formulaire refuse de se soumettre, vérifiez que la clé publique dans les paramètres du plugin correspond à celle de votre tableau de bord CAPTCHA.eu, et que votre snippet FTL fait référence à l'ID de l'élément de formulaire correct pour chaque flux.
Pour Déploiements Kubernetes, Pour vérifier que le JAR est correctement chargé après le redémarrage d'un pod, il suffit de consulter les journaux de démarrage de Keycloak pour y trouver la confirmation de l'enregistrement du fournisseur. Si le fournisseur n'apparaît pas dans les journaux, le JAR n'est pas récupéré. Revérifiez le montage du volume ou la construction de l'image.
Liste de contrôle RGDP après le changement de fournisseur
La migration technique couvre la couche CAPTCHA. Ces étapes complètent l'image de conformité.
Mettez à jour votre avis de confidentialité. Supprimez l'entrée reCAPTCHA et remplacez-la par une courte entrée CAPTCHA.eu qui désigne l'Autriche comme lieu de traitement et la protection des robots sur les flux d'authentification comme objectif.
Examinez la configuration de votre gestion du consentement. Si votre déploiement Keycloak comprenait une divulgation de cookies pour reCAPTCHA, supprimez ou révisez cette entrée. Pour CAPTCHA.eu, aucun mécanisme de consentement basé sur les cookies n'est nécessaire pour la couche CAPTCHA elle-même. Les cookies de session et les jetons OIDC sont distincts et ne sont pas affectés.
Mettez à jour vos dossiers de traitement. Remplacez Google en tant que sous-traitant lié au CAPTCHA dans vos enregistrements au titre de l'article 30. Une DPA standard est disponible auprès de CAPTCHA.eu à cette fin.
Confirmez avec vos équipes de sécurité et de DPD. Pour les déploiements dans les entreprises et les secteurs réglementés, confirmez les modifications du flux d'authentification avec votre architecte de sécurité et votre DPO avant la mise en service. Il s'agit d'une pratique courante pour tout changement de système d'authentification.
Pourquoi cela prend moins de temps que les équipes ne le pensent
Le même schéma se répète trois fois : dupliquer le flux, remplacer une exécution, configurer les clés, lier, ajouter un extrait FTL. Après le flux de connexion, l'enregistrement et la réinitialisation du mot de passe prennent chacun environ cinq minutes. La durée totale de la migration pour les trois flux, y compris les tests, est généralement inférieure à quatre-vingt-dix minutes, même pour les équipes qui ne connaissent pas la configuration des flux Keycloak.
Questions fréquemment posées
CAPTCHA.eu fonctionne-t-il avec ma version de Keycloak ?
Le plugin CAPTCHA.eu fonctionne via le SPI d'authentification de Keycloak et supporte une large gamme de versions. Consultez la page du plugin pour connaître la matrice de compatibilité actuelle. Pour référence : Le plugin Keycloak de Friendly Captcha nécessite Keycloak 26.1.0 ou une version plus récente et Java 17 ou une version plus récente. Si vous utilisez une version plus ancienne, CAPTCHA.eu maintient des options à votre disposition.
Ai-je encore besoin d'une bannière de consentement aux cookies après avoir changé de fournisseur ?
Pas pour la couche CAPTCHA elle-même. CAPTCHA.eu ne définit aucun cookie pour la fonction CAPTCHA, ce qui supprime le déclencheur de consentement spécifique que reCAPTCHA introduit sur les pages d'authentification. Les cookies de session et les jetons OIDC sont distincts et ne sont pas affectés par le changement.
Puis-je protéger uniquement certains flux et en laisser d'autres inchangés ?
Oui. Chaque flux Keycloak est configuré indépendamment, de sorte que vous pouvez protéger uniquement l'inscription, ou la connexion et l'inscription, ou les trois. La plupart des équipes commencent par l'enregistrement (le volume le plus élevé d'abus automatisés), puis ajoutent la connexion et la réinitialisation du mot de passe. Le fait de ne pas protéger la réinitialisation du mot de passe tout en protégeant les deux autres flux crée une lacune, c'est pourquoi il faut prévoir de couvrir les trois flux.
Que se passe-t-il si j'ai un thème Keycloak personnalisé ?
Ajoutez les snippets frontend à vos modèles de thème existants : login.ftl, register.ftl, et login-reset-password.ftl. Chaque extrait se place après la balise de fermeture de son modèle respectif. Si vous préférez un nouveau départ, l'extension CAPTCHA.eu inclut un thème préconstruit dans /theme/captcha que vous pouvez utiliser comme base.
En quoi CAPTCHA.eu est-il différent de Friendly Captcha for Keycloak ?
Tous deux fournissent des plugins Keycloak officiels avec vérification de la preuve de travail et sans cookies. Les différences pratiques : CAPTCHA.eu supporte un plus grand nombre de versions de Keycloak : Friendly Captcha nécessite Keycloak 26.1.0+ et Java 17+, ce qui l'exclut pour les équipes sur des installations plus anciennes. CAPTCHA.eu inclut également le traitement hébergé en Autriche dans chaque plan commercial par défaut, tandis que le point de terminaison dédié à l'UE de Friendly Captcha nécessite le plan Advanced à partir de 200 €/mois.
Dois-je également activer la protection intégrée contre la force brute de Keycloak ?
Oui, et les deux mécanismes se complètent bien. CAPTCHA.eu empêche les robots automatisés de soumettre des informations d'identification. La détection par force brute intégrée de Keycloak gère ensuite les cas qui passent au travers en verrouillant temporairement les comptes après des échecs répétés. L'utilisation de ces deux solutions vous permet de bénéficier d'une défense en profondeur. Voir notre guide sur prévenir les attaques par force brute pour la stratégie globale.
CAPTCHA.eu est-il adapté aux déploiements SSO des entreprises ?
Oui. CAPTCHA.eu est utilisé par des organisations telles que l'ÖBB, l'OeNB et la DGUV : des environnements où la sécurité de l'authentification et la documentation des marchés publics font l'objet d'un examen formel. Le traitement hébergé en Autriche et la certification WCAG 2.2 AA du TÜV Austria fournissent les preuves documentées que les examens de sécurité des entreprises et du secteur public exigent généralement.
Lecture associée
TYPO3 reCAPTCHA Alternative : Comment remplacer reCAPTCHA sur les sites web européens
reCAPTCHA sur TYPO3 signifie des cookies, des transferts de données américains et une charge de conformité croissante que la plupart des équipes DACH ne veulent plus...
WordPress reCAPTCHA Alternative : Comment remplacer reCAPTCHA sur les sites web européens
Google reCAPTCHA fonctionne sur WordPress. Mais quand on regarde ce que cela signifie pour le GDPR, les cookies et les transferts de données aux Etats-Unis,...
Comment prévenir les attaques de type "Credential Stuffing" sur votre site web ?
Les attaques de type "Credential stuffing" utilisent de vrais mots de passe volés lors de brèches antérieures, et non des suppositions. Cela les rend plus rapides, plus difficiles à détecter et...
Comment prévenir les attaques par force brute sur votre site web ?
Les attaques par force brute constituent l'une des menaces les plus persistantes pour la sécurité des sites web. En 2026, elles combinent des listes d'identifiants volés,...
Sources primaires
Page du plugin CAPTCHA.eu KeycloakGuide d'installation officiel et snippets FTL pour les trois flux
Page d'intégration de Friendly Captcha KeycloakLe logiciel de gestion de l'information est un outil d'aide à la décision : il confirme les exigences de Keycloak 26.1.0+ et de Java 17+.
keycloak-altcha (GitHub): extension ALTCHA de la communauté pour Keycloak, flux d'enregistrement uniquement
Keycloak Numéro GitHub #41057Discussion de la communauté sur la prise en charge native des CAPTCHA non-Google dans Keycloak
FAQ reCAPTCHA de Google (avril 2026)Le rapport d'activité de la Commission européenne : confirme l'existence d'une _grecaptcha le cookie subsiste après le changement de modèle de processeur
CAPTCHA.eu Certification WCAG 2.2 AA: certifié de manière indépendante par le TÜV Autriche
Transparence : Cet article est rédigé par l'équipe de CAPTCHA.eu et inclut notre propre produit. Les options des concurrents sont caractérisées sur la base de la documentation publique actuelle. Si vous trouvez une inexactitude, Contactez-nous et nous le corrigerons.
Essayez l'alternative européenne conçue pour les déploiements axés sur la protection de la vie privée.
Si votre équipe a besoin d'une protection contre les robots à faible friction avec un hébergement autrichien, pas de cookies au niveau de la couche CAPTCHA, un traitement basé sur l'UE, des prix transparents et une accessibilité certifiée TÜV, testez CAPTCHA.eu sur un flux réel avant de prendre votre décision. Commencez par votre formulaire de connexion, d'inscription ou de contact. 100 requêtes gratuites, sans carte de crédit.
French 
English 
German 
Spanish 
Dutch 
Italian