Google veut révolutionner les CAPTCHA, mais les failles sont encore nombreuses

Le système nécessite l’accès à la webcam de l’utilisateur pour vérifier qu’il n’est pas un robot. Des testeurs ont réussi à le tromper avec une simple photo.

gogle recaptcha
© Tom’s Hardware / ChatGPT

Google expérimente une nouvelle forme de vérification au sein de son système reCAPTCHA, baptisée « hand gesture verification » (HGV). Le principe : demander à l’utilisateur l’accès à sa webcam, lui faire effectuer un geste de la main devant la caméra, puis analyser la vidéo ainsi captée pour confirmer qu’il s’agit bien d’un être humain et non d’un programme automatisé.

Concrètement, le système enregistre un ou plusieurs clips vidéo de la main de l’utilisateur. Ce dernier doit faire un signe de la main ou réaliser d’autres gestes, que l’algorithme traite ensuite pour en extraire des données biométriques et valider l’interaction.

Contourné dès les premiers tests

Le dispositif n’a pas tardé à être mis à l’épreuve. Plusieurs utilisateurs ont rapporté avoir réussi à tromper le système en utilisant de simples photos libres de droits, combinées à la fonctionnalité de « caméra virtuelle » du logiciel OBS Studio. Cette fonction permet de simuler une webcam physique, rendant ainsi inutile la possession d’un vrai périphérique. Il suffirait donc de présenter une image statique imitant le geste demandé pour passer la vérification sans difficulté.

Ce type de contournement pourrait par ailleurs être facilement automatisé, par exemple via un script Python associé à une bibliothèque d’images, ce qui réduirait considérablement la valeur protectrice du système face à des opérations de spam ou de bots organisées.

Une efficacité limitée

Les CAPTCHA, dans leur forme classique, peinent depuis plusieurs années à contenir les systèmes automatisés les plus sophistiqués, qui s’appuient sur l’apprentissage automatique pour les résoudre de manière fiable.

L’échec précoce de HGV illustre que les approches biométriques ne semblent pas, pour l’instant, mieux armées face à ces techniques.

Des questions sur la vie privée

Au-delà de l’efficacité discutable du système, c’est la question de la vie privée qui suscite des réserves. Demander l’accès à la webcam d’un utilisateur pour lui permettre simplement de visiter un site web constitue une étape supplémentaire dans ce que certains observateurs décrivent comme une normalisation de la surveillance continue par les grandes plateformes technologiques.

Google indique que les vidéos captées ne sont traitées qu’aux fins de détecter le geste et sont supprimées rapidement après la vérification. La société précise également qu’elles ne sont jamais associées à l’identité de l’utilisateur et qu’aucun son n’est enregistré.

Ces assurances ne convainquent toutefois pas tous les observateurs. Une affaire récente, dans laquelle des vidéos Nest supposément supprimées avaient été retrouvées dans les systèmes de Google, a relancé les interrogations sur la manière dont l’entreprise gère réellement les données qu’elle collecte, indépendamment de ce que stipulent ses conditions d’utilisation. La question de savoir si ces données pourraient alimenter des modèles d’intelligence artificielle comme Gemini reste également posée.

À ce stade, HGV n’est qu’en phase de test et rien n’indique qu’il sera déployé à grande échelle. Mais son existence témoigne des difficultés persistantes à trouver un équilibre entre sécurité, utilisabilité et respect de la vie privée dans la conception des systèmes anti-bots.