ActualitéLa UneSécurité

reCAPTCHA : De bouclier anti-bots à espion invisible

Steeve Fortin
Steeve Fortin - Éditeur

Il y a encore quelques années, cocher la fameuse case « Je ne suis pas un robot » paraissait anodin. Un simple test de sécurité censé nous protéger des attaques automatisées sur le web. Pourtant, derrière cette interface en apparence bienveillante, reCAPTCHA s’est mué en un monstre de surveillance et de collecte de données. Google a-t-il réussi à transformer un outil de cybersécurité en véritable spyware déguisé ? Plongeons dans les dessous de cette technologie omniprésente et pourtant si méconnue.

Un outil inefficace contre les bots, mais redoutable contre la vie privée

Lancé en 2007, reCAPTCHA devait, à l’origine, lutter contre les bots qui pullulent sur le web. Acquis par Google en 2009, le système a évolué de la saisie de textes déformés à l’analyse de nos mouvements de souris et de notre historique de navigation. Or, selon plusieurs études, reCAPTCHA est loin d’être efficace : des hackers ont réussi à contourner ses barrières avec un taux de succès de 99,1 % dès 2012 et de 97 % en 2018​. Plus ironique encore, les bots s’en sortent souvent mieux que les humains face aux défis de reconnaissance d’images​.

La première version de reCaptcha consistait à retranscrire 2 mots.

Alors pourquoi Google s’accroche-t-il à ce système inefficace ? La réponse tient en deux mots : données personnelles.

Un espion en arrière-plan, même quand vous ne cliquez pas

Loin de se limiter à un simple test d’authentification, reCAPTCHA est en réalité une véritable machine de traçage. Son algorithme enregistre et analyse une quantité impressionnante de données :

  • Votre adresse IP,
  • Votre historique de navigation.
  • Vos mouvements de souris (avec une empreinte pixel par pixel de votre activité en ligne).
  • Les données de votre appareil (résolution d’écran, agent utilisateur, etc.)​.

Avec la version v3 de reCAPTCHA, déployée en 2018, plus besoin de cliquer sur quoi que ce soit : le système tourne en arrière-plan sans que vous le sachiez. Il surveille vos actions en permanence et vous attribue un score de « fiabilité » pour déterminer si vous êtes un humain ou un bot. En d’autres termes, Google n’a plus besoin de vous demander de prouver que vous êtes humain, car il sait déjà qui vous êtes.

Des milliards d’heures de travail gratuit pour Google

Le scandale ne s’arrête pas là. Selon une étude menée par l’université d’Irvine, 819 millions d’heures humaines ont été perdues à remplir des reCAPTCHA entre 2010 et 2023, soit une valeur estimée à 6,1 milliards de dollars de travail non rémunéré​.

Car oui, chaque fois que vous sélectionnez un feu de circulation ou une moto dans une image, vous aidez en réalité Google à entraîner ses intelligences artificielles. Ces données sont ensuite utilisées pour perfectionner Google Maps, Google Vision AI et d’autres services d’IA. Et ce n’est pas tout : Google facture l’intégration de reCAPTCHA aux entreprises via Google Cloud, leur faisant indirectement payer les résultats du travail que VOUS avez fourni gratuitement.

L’identification d’images sert d’abord à entrainer les IA, vous êtes en quelque sorte de la main-d’oeuvre gratuite

Un risque majeur pour la vie privée

Google jure ne pas utiliser ces données pour de la publicité ciblée. Mais alors, pourquoi les collecter en premier lieu ? L’analyse des documents légaux de Google révèle des formulations ambiguës permettant à l’entreprise d’exploiter ces informations pour des raisons de « sécurité générale », un terme suffisamment vague pour inclure la collaboration avec des agences de renseignement​.

D’ailleurs, certains indices laissent penser que le gouvernement américain utilise reCAPTCHA pour identifier et tracer des individus. Des documents internes ont révélé que l’Agence de Sécurité Nationale (NSA) et le FBI intègrent reCAPTCHA sur leurs plateformes​. Concrètement, si un citoyen américain souhaite signaler anonymement une information aux autorités, Google pourrait être contraint de transmettre son identité aux agences fédérales via une simple requête judiciaire.

Un espion intégré aux sites gouvernementaux

Ce qui rend la situation encore plus préoccupante, c’est que même les sites gouvernementaux québécois et canadiens utilisent reCAPTCHA, souvent sans que les citoyens ne s’en rendent compte. Une simple vérification du code source de plusieurs sites officiels a suffi pour révéler la présence de reCAPTCHA invisible en arrière-plan. Cela signifie que, chaque fois que nous interagissons avec ces plateformes pour des services essentiels – qu’il s’agisse de renouveler un passeport, remplir une déclaration d’impôt ou soumettre une demande officielle – Google enregistre nos comportements en ligne.

Ainsi, alors que ces gouvernements imposent des réglementations strictes sur la protection des données et la confidentialité des utilisateurs, ils s’appuient paradoxalement sur un outil appartenant à une multinationale américaine connue pour sa soif insatiable de données. Cette dépendance à Google pour des fonctions de sécurité numérique soulève d’importantes questions sur la souveraineté technologique et la protection de la vie privée des citoyens.

Une simple vérification de code source permet de constater que reCaptcha est utilisé par les gouvernements du Québec et du Canada (Image MinuteTech)

Comment échapper à reCAPTCHA ?

Malheureusement, si vous naviguez sur le web, il est presque impossible d’éviter reCAPTCHA. Toutefois, il existe des alternatives plus respectueuses de la vie privée :

  1. hCaptcha : Un service similaire qui ne collecte pas vos données personnelles. Cloudflare l’a adopté en 2020 à la place de reCAPTCHA​.
  2. Geetest : Un CAPTCHA basé sur des défis interactifs plutôt que sur des images​.
  3. Honeypot : Une technique discrète qui piège les robots en ajoutant un champ invisible aux formulaires.

Avec reCAPTCHA, Google a réussi un coup de maître : faire passer un immense dispositif de surveillance et d’exploitation du travail humain pour un simple outil de cybersécurité. Chaque clic, chaque image sélectionnée, chaque mouvement de souris est une mine d’or pour l’entreprise, qui transforme nos efforts involontaires en milliards de dollars de revenus.

Le plus cynique ? Nous continuons à cliquer, sans même nous poser de questions.

Et pourtant, à mesure que les gouvernements renforcent les lois en matière de protection de la vie privée – avec des réglementations comme la loi 25 au Québec, le RGPD en Europe ou le CCPA en Californie – il est inquiétant de voir Google contourner ces règles sous couvert de cybersécurité. En s’imposant comme un outil essentiel pour lutter contre les bots, Google parvient à légitimer une collecte massive de données qui, en d’autres circonstances, serait illégale ou soumise à de strictes limitations.

Mais reCAPTCHA n’est qu’un rouage dans une machine bien plus vaste. Google ne se contente pas d’observer nos interactions avec les CAPTCHA, il analyse également la quasi-totalité du trafic web mondial via ses autres outils comme Google Analytics. Ce service, utilisé par plus de 85 % des sites web, permet aux propriétaires de sites de suivre en temps réel le comportement de leurs visiteurs : pages visitées, temps passé, origine géographique, type d’appareil utilisé, etc. Toutefois, ces données ne restent pas confinées aux propriétaires des sites : elles alimentent directement les serveurs de Google, enrichissant encore davantage son écosystème de données.

La situation crée un paradoxe : les gouvernements imposent des réglementations toujours plus strictes aux entreprises et aux sites web en matière de protection des données, mais dans le même temps, Google reste incontournable. Les sites web qui souhaitent se conformer à ces lois doivent souvent passer par des outils fournis… par Google lui-même. Un jeu d’échecs où le géant américain garde une longueur d’avance, tout en imposant ses propres règles.

Alors, Google a-t-il vraiment gagné la partie ? Peut-être pas encore, mais une chose est sûre : tant que nous continuerons à accepter passivement ces outils, nous jouerons dans un terrain qu’il contrôle entièrement.

Dire que les Américains martèlent sans cesse que ce sont les Chinois qui nous espionnent !

Vous pourriez aussi aimer

Yarbo : la souffleuse robotisée qui réinvente le déneigement

Comment modifier le CFS de la Creality K2 Plus Combo

Vous cherchez des alternatives aux géants américains ? Essayez ces applications canadiennes

Souveraineté numérique : le Canada peut-il résister aux géants du web et à Trump ?

Sternboard: Une planche à roulette tout terrain!

ÉTIQUETÉ :
SOURCES:Developpez.comDazed & Confused: A Large-Scale Real-World User Study of reCAPTCHAv2
Partagez cet article
ParSteeve Fortin
Éditeur
Suivre:
Je suis informaticien avec 25 ans d'expérience et chroniqueur techno depuis 2016. J'ai débuté ma carrière de chroniqueur au Saguenay pour Le Quotidien, et mes chroniques ont rapidement été repris par les journaux des Coopératives de l'information. J'ai fondé MinuteTech dans le but de poursuivre cette passion pour la technologie dans une liberté totale. Vous pouvez m'écrire au [email protected]
Article précédent Vous cherchez des alternatives aux géants américains ? Essayez ces applications canadiennes
Article suivant Comment modifier le CFS de la Creality K2 Plus Combo