● Numerama 📅 11/05/2026 à 18:16

Cybersécurité 👤 Lisa Imperatrice

🏷️ Tags : cert rte

Lecture Zen Résumer l'article Google introduit un reCAPTCHA qui remplace ponctuellement les puzzles par un scan de QR code sur smartphone. Le dispositif repose sur l’attestation de l’appareil par l’écosystème Google ou Apple, plutôt que sur des défis visuels ou un scoring de navigation. Cette orientation risque d’exclure les utilisateurs d’appareils non certifiés ou « dégooglés », classés à tort comme suspects. Google introduit un reCAPTCHA qui remplace ponctuellement les puzzles par un scan de QR code sur smartphone. Le dispositif repose sur l’attestation de l’appareil par l’écosystème Google ou Apple, plutôt que sur des défis visuels ou un scoring de navigation. Cette orientation risque d’exclure les utilisateurs d’appareils non certifiés ou « dégooglés », classés à tort comme suspects. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Déployée depuis avril 2026, la nouvelle génération de reCAPTCHA de Google remplace parfois les traditionnels CAPTCHA par une vérification via smartphone et QR code. Une évolution pensée pour contrer les bots dopés à l’IA, mais qui risque aussi d’exclure certains utilisateurs. L’ère des feux piétons, vélos, motos ou encore escaliers est peut-être en train de toucher à sa fin. Google déploie progressivement une nouvelle génération de reCAPTCHA qui, dans certains cas, ne demande plus de cocher une case ou de cliquer sur des bus, mais simplement de scanner un QR code avec son téléphone. Cette fonctionnalité est intégrée à Cloud Fraud Defense, présentée comme la « nouvelle génération de reCAPTCHA » lors de Google Cloud Next 2026, en avril dernier. Pour l’instant, ce mécanisme n’apparaît que dans certaines situations — trafic jugé suspect, scénarios considérés comme à risque –, mais il pourrait se généraliser. Et ce n’est pas forcément une bonne nouvelle pour les utilisateurs. Google a présenté Cloud Fraud Defense, la nouvelle évolution de reCAPTCHA fin avril 2026. // Source : Google Comment fonctionnent les nouveaux Captcha de Google ? Pour rappel, un CAPTCHA sert à vérifier qu’un être humain est bien à l’origine d’une action — accéder à un formulaire, changer un mot de passe, créer un compte — et non un robot. reCAPTCHA, racheté par Google en 2009, est aujourd’hui l’une des solutions les plus utilisées par les sites web pour distinguer automatiquement un « vrai » utilisateur d’un bot. À l’origine, le système reposait sur des tests simples pour un humain mais difficiles à automatiser : recopier un texte déformé, cocher une case ou identifier des objets dans une image. Mais au fil des versions, reCAPTCHA est devenu beaucoup plus discret, jusqu’à analyser directement le comportement de navigation et différents signaux techniques afin d’attribuer un score de risque, sans forcément afficher de test. Avec Fraud Defense, Google pousse cette logique plus loin : il ne s’agit plus seulement d’évaluer le comportement d’un utilisateur, mais aussi de vérifier si l’appareil utilisé est considéré comme fiable par Google ou Apple. Concrètement, lorsqu’un trafic est jugé risqué, le site peut afficher un QR code à scanner avec un smartphone. Celui-ci lance alors un module de vérification qui communique avec les serveurs de Google. Si l’appareil est validé, l’accès est accordé — dans le cas contraire, l’utilisateur peut échouer à prouver qu’il est humain. Tous les reCAPTCHA ne vont toutefois pas se transformer en QR codes. Cette nouvelle méthode vient s’ajouter aux mécanismes existants et devrait surtout être utilisée dans les situations jugées à risque. Mais si Google la présente comme la solution la plus efficace face aux bots dopés à l’IA, rien ne garantit qu’elle restera marginale. Google précise d’ailleurs que les sites utilisant déjà reCAPTCHA seront progressivement basculés vers cette nouvelle infrastructure en arrière-plan, sans démarche particulière de leur part. Cette logique repose sur des conditions techniques très précises. Côté Android, la vérification nécessite une version récente des Google Play Services. Sur un smartphone classique vendu avec les services Google préinstallés, tout se déroule en arrière-plan. Mais sur un appareil « dégooglé » — GrapheneOS, CalyxOS, /e/OS ou encore un smartphone non certifié –, cette brique logicielle est absente ou limitée. Résultat : la nouvelle vérification reCAPTCHA peut ne jamais aboutir, même lorsque l’utilisateur est parfaitement légitime. Côté iOS, le système s’appuie également sur des fonctionnalités récentes d’iOS et d’iPadOS, elles aussi liées à l’écosystème d’Apple. Différents types de Captcha à travers le temps. // Source : NextCaptcha Une réponse à l’inefficacité des captcha face à l’IA Officiellement, Google présente cette évolution comme une réponse à l’inefficacité croissante des CAPTCHA traditionnels face aux modèles d’IA, désormais capables de reconnaître textes et images avec une très grande précision. « Ce dispositif de vérification, résistant à l’IA et visant à prouver la présence humaine, a pour objectif de rendre la fraude automatisée économiquement non viable », explique l’entreprise dans son billet de blog. Cette nouvelle génération de reCAPTCHA s’intègre plus largement aux outils anti-fraude des offres cloud de Google, censés mieux bloquer le spam, les attaques automatisées et les faux comptes. Mais force est de constater que cette approche rappelle fortement Web Environment Integrity (WEI), un projet très controversé proposé par Google en 2023 pour Chrome. L’idée était déjà de permettre aux sites de vérifier l’intégrité de l’environnement du navigateur via des tiers d’attestation, avec la possibilité d’écarter les configurations jugées « non fiables ». Face aux critiques de développeurs, de navigateurs concurrents et de défenseurs des libertés numériques, Google avait finalement renoncé à intégrer WEI directement dans Chrome. Pourtant, la même logique réapparaît aujourd’hui à travers un produit de sécurité déployé discrètement site par site. Quelles conséquences pour l’ouverture du Web ? En pratique, cette nouvelle version de reCAPTCHA favorise les utilisateurs disposant d’un smartphone Android certifié par Google, avec tous les services associés activés, ou d’un iPhone récent. À l’inverse, les personnes qui utilisent des appareils non certifiés, des systèmes Android alternatifs ou des smartphones plus anciens risquent davantage d’être considérées comme « suspectes » — non pas à cause de leur comportement, mais parce que leurs appareils ne produisent pas les bons signaux d’attestation. Le fait de devoir utiliser un smartphone pour prouver qu’on n’est pas un robot pose aussi une question d’accessibilité. Tout le monde ne possède pas de smartphone, ni n’est à l’aise avec le scan de QR codes. Ce type de vérification peut compliquer l’accès à certains sites pour des publics âgés, précaires ou peu familiers de ces usages, là où les anciens CAPTCHA restaient utilisables depuis un simple ordinateur. Et même si la méthode rappelle techniquement celle des Passkeys (norme FIDO2), elle crée une situation assez paradoxale sur PC : l’utilisateur devient dépendant de son smartphone pour valider sa session. À cela s’ajoute un autre problème : les utilisateurs qui cherchent à limiter la collecte de données ou à éviter les services Google se retrouvent dans une impasse. Pour prouver qu’ils sont humains, ils doivent désormais accepter de passer par les briques techniques de Google — ou, côté iPhone, par celles d’Apple. Pour autant, nous n’en sommes pas encore à une généralisation systématique du QR code sur chaque page web. Google pourrait aussi proposer, à terme, d’autres mécanismes mieux adaptés à un usage pur sur ordinateur, afin de ne pas casser totalement l’expérience de navigation. La firme n’est d’ailleurs pas seule dans cette évolution vers un « Web certifié » : l’approche rappelle directement les Private Access Tokens d’Apple, qui permettent déjà à certains sites de vérifier de manière transparente qu’une requête provient d’un appareil iOS ou macOS considéré comme légitime. Reste à voir jusqu’où cette logique s’imposera à mesure que l’IA transformera les usages du Web. Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus) En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires. Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies. J’accepte tout Gérer mes choix Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer ! Crédit photo de la une : Numerama Signaler une erreur dans le texte captcha Google Ne plus voir cette pub Ne plus voir cette pub

🔗 Lire l'article original 👁️ 0 lecture