reCAPTCHA v2 ou v3 : quelle est la meilleure protection contre la fraude liée au trafic invalide ?

Ce message a été mis à jour pour la dernière fois le 18 janvier 2023

Humain ou bot ? Vous soyez le juge. La dernière version du reCAPTCHA de Google, qui tente de faire la différence entre les humains et les bots, soulève quelques sourcils. Certains disent qu'il est plus précis que les versions précédentes, tandis que d'autres affirment qu'il crée simplement plus de travail pour les éditeurs. Alors quel est le verdict ? Nous sommes là pour le décomposer pour vous.

Qu'est-ce que reCAPTCHA ?

Conçu comme mesure de sécurité à la fin des années 90, CAPTCHA est une mesure de sécurité conçue pour distinguer les bots des utilisateurs humains ayant des problèmes visuels ou audio. Leur objectif principal est d'empêcher les bots généraux de s'inscrire à des comptes et de spammer dans la section des commentaires. "reCAPTCHA", d'autre part, qui est utilisé par des millions de sites en ligne, a été publié par Google en 2007 en tant que système CAPTCHA. reCAPTCHA est gratuit jusqu'à 1 million d'appels d'API par mois. Si votre site Web génère plus d'un million d'appels chaque mois, alors reCAPTCHA Enterprise est la solution avec 1 $ pour 1 000 appels jusqu'à 10 millions d'appels par mois.

reCAPTCHA v2 : une promenade pour les bots ?

Vous avez dû tomber sur reCAPTCHA v2 sur certains sites lorsqu'ils vous demandent d'identifier ou de détecter des passages pour piétons, etc. Celui-ci a été lancé en 2014 et est utilisé par la majorité des sites Web. En cas d'activité suspecte d'un utilisateur non valide, reCAPTCHA v2 propose une énigme (tâche de reconnaissance d'image) que le visiteur doit résoudre pour séparer les bots des humains. Certains sites ont le plugin captcha de base sur leur site qui permet aux utilisateurs de simplement cocher la case "Je ne suis pas un robot" pour se faire passer pour des utilisateurs légitimes.

La tâche que vous obtenez dépend du fait que Google soit sûr que vous n'êtes pas un bot. reCAPTCHA v2 s'appuie principalement sur les cookies de Google car il s'agit d'un système d'analyse des risques sous couverture. Les utilisateurs de Chrome devront très probablement cocher la case "pas un robot" lors de la navigation tandis que les utilisateurs de Firefox avec des cookies tiers désactivés auront du mal à passer les puzzles de reconnaissance d'image. De plus, Safari est quelque chose que nous n'avons même pas pris en compte ici, mais ils viennent avec leurs propres services de blocage de robots.

Ce qui est mauvais avec reCAPTCHA v2, c'est qu'il détériore toute l'expérience utilisateur en réduisant les taux de conversion lorsque les puzzles prennent plus de temps que d'habitude. De plus, les criminels néfastes peuvent désormais facilement contourner toute forme de défi reCAPTCHA, ce qui rend moins efficace la dépendance des éditeurs en tant que solution de protection contre la fraude. Avec l'aide de l'IA et de l'apprentissage automatique, les botnets sont capables de résoudre ces énigmes, ils sont donc déjà formés pour battre reCAPTCHA.

WTF c'est les fermes CAPTCHA ?

Tout comme les fermes à clics, il existe des fermes CAPTCHA où les fraudeurs sous-traitent les défis reCAPTCHA aux travailleurs humains dans les pays de niveau 3. Alors, que faut-il pour contourner un reCAPTCHA v2 ? Vous pouvez facilement passer ces énigmes en envoyant une demande de rappel avec le jeton de réponse.

Étant donné que JavaScript n'est pas réellement nécessaire ici, les cybercriminels conçoivent des bots qui utilisent des bibliothèques de requêtes HTTP de base plutôt que des navigateurs avancés. De plus, les fermes CAPTCHA sont moins chères car elles paient ces travailleurs entre 1 et 5 dollars pour résoudre plus de mille énigmes.

reCAPTCHA v3 expliqué

reCAPTCHA v3 est la version améliorée de v2 conçue pour intercepter le trafic invalide sophistiqué (SIVT) avec une meilleure expérience utilisateur. Ceci est plus transparent et fonctionne en arrière-plan car il n'y a pas d'énigmes à résoudre avec la v3. Il est principalement impliqué dans la détection comportementale de l'utilisateur pour conclure si l'utilisateur est légitime ou non. Quelle que soit la demande du bot ou de l'utilisateur humain sur le site Web, reCAPTCHA v3 renvoie un score de 0 ou 1, 0 signifiant bot et 1 signifiant que vous êtes humain.

Les éditeurs peuvent toujours modifier les paramètres pour aider à améliorer le système de notation reCAPTCHA v3 pour plus de précision dans la détection du comportement des bots ou des utilisateurs humains. Mais cela vient avec quelques défauts. Avec la v3, les éditeurs doivent déterminer les actions à entreprendre en fonction du score, ce qui devient parfois difficile car il n'est pas automatisé. Même les administrateurs de sites Web les plus expérimentés sont bloqués lorsqu'il s'agit d'obtenir la bonne configuration.

Pourquoi reCAPTCHA v2 et v3 ne suffisent pas ?

1. Mauvaise expérience utilisateur dans la v2. Les vrais utilisateurs trouvent ces énigmes chronophages et abandonnées.

2. Les bots sophistiqués peuvent facilement contourner la v3.

3. Impossible de surveiller les faux positifs et négatifs.

4. Attribuer le bon seuil de score dans la v3 est une tâche ardue.

5. Les fermes Captcha et les algorithmes de réseau neuronal d'apprentissage automatique permettent aux fraudeurs de résoudre n'importe quel défi CAPTCHA.

En un mot, aucune des solutions ci-dessus n'est assez bonne pour la protection contre la fraude publicitaire et le blocage des bots.

Une solution efficace de blocage des bots

Nous ne pouvons pas utiliser reCAPTCHA v2 et v3 sur chaque page pour vérifier les utilisateurs car cela augmentera les taux de rebond. Cela réduira également considérablement les revenus publicitaires de l'éditeur. C'est à ce moment qu'une solution fiable de gestion du trafic invalide comme Traffic Cop peut réellement résoudre le problème des bots pour les éditeurs.

Voici pourquoi:

Mesurez et bloquez les bots :

Avec le tableau de bord Traffic Cop, vous obtenez des rapports détaillés et des analyses sur le type de trafic, le trafic des bots par pays, appareil, adresse IP et bien plus encore. Une fois le trafic de bot détecté, il est ensuite classé en trafic invalide inoffensif, suspect et critique. Après cela, le mauvais comportement du bot est définitivement bloqué et vous n'aurez plus jamais à vous soucier de la récupération des revenus publicitaires.

Détection des fermes CAPTCHA :

Traffic Cop utilise les CAPTCHA comme boucles de rétroaction afin que si un utilisateur humain est bloqué, il puisse continuer sa navigation. Si l'humain ou le bot ne peut même pas résoudre le casse-tête CAPTCHA de base, les publicités sur ce site seront cachées à l'utilisateur ou au bot pour éviter les clics abusifs sur les publicités, l'actualisation abusive des publicités, etc. Nos équipes AdOPs ont développé des algorithmes avancés pour s'assurer que les CAPTCHA sont résolus par des utilisateurs légitimes et non par des fermes CAPTCHA ou des bots sophistiqués. Nous avons invalidé des millions de réponses CAPTCHA falsifiées jusqu'à présent.

Détection des bots sophistiqués :

Lorsqu'il s'agit de détecter des bots sophistiqués qui peuvent réduire considérablement vos revenus publicitaires à long terme, nous avons mis au point une détection de bot complexe via l'adresse IP pour nous assurer que même les bots les plus sophistiqués ne peuvent pas contourner Traffic Cop. Des éditeurs comme clark.com, Blurb Media INC ont connu des récupérations massives de revenus en raison des bots et après la mise en œuvre de Traffic Cop, leurs récupérations sont passées de 86 % à 1 %, ce qui leur a sauvé la vie. En savoir plus ici.

Alors qu'est-ce que tu attends? Je suis sûr que vous cherchez également à vous débarrasser de ces bots pour de bon. Essayez Traffic Cop aujourd'hui et dites adieu aux bots.