Les CAPTCHA ne nous protègent plus des bots : la vente de billets en crise technologique

Les CAPTCHA ne nous protègent plus des bots : la vente de billets en crise technologique
Share on Pinterest Share on LinkedIn

Le créateur de Pretix met en garde : Les CAPTCHAs ne protègent plus contre les bots

Dans un monde où les concerts se vendent en quelques secondes et où les bots agissent plus rapidement que les vrais fans, la quête d’un billet légitime est devenue une lutte inégale. Les systèmes CAPTCHAs, autrefois considérés comme la barrière ultime contre les programmes automatisés, sont désormais remis en question. Raphael Michel, créateur de Pretix, une plateforme de vente de billets open source, déclare : « Les CAPTCHAs n’offrent plus une protection significative contre les bots. »

De la distorsion à l’inefficacité

Les CAPTCHAs ont été initialement conçus pour distinguer les humains des machines. Ils ont évolué d’abord avec des lettres déformées, puis avec des images—tels que les images de feux de circulation ou de vélos—et enfin avec des épreuves auditives. Cependant, l’intelligence artificielle a appris à tous les résoudre. En 2025, les modèles de reconnaissance de texte et d’image surpassent les humains en vitesse et en précision dans presque toutes ces épreuves.

De plus, rendre ces épreuves plus difficiles nuit directement aux utilisateurs, qui commencent à les échouer ou à abandonner le processus. L’accessibilité, désormais exigée légalement en Europe, empêche la création de CAPTCHAs qui excluraient les utilisateurs ayant des handicaps visuels ou auditifs.

De l’esthétique à l’espionnage comportemental

Face à la chute des CAPTCHAs traditionnels, les systèmes modernes choisissent de surveiller le comportement de l’utilisateur. Des services comme reCAPTCHA v3 ou Cloudflare analysent comment l’utilisateur déplace sa souris, navigue ou quelles informations il accumule. Cela leur permet d’estimer s’il s’agit d’un humain ou d’une machine.

Le problème : la disparition de la vie privée. Pour fonctionner, ces services nécessitent d’énormes quantités de données personnelles, souvent collectées sur de nombreux sites. Cela crée des profils intrusifs et, dans de nombreux cas, viole des principes éthiques et légaux.

De plus, les erreurs ne sont pas possibles. Un faux positif peut exclure des utilisateurs légitimes—comme ceux utilisant des technologies d’assistance—sans possibilité d’appel, en particulier dans des contextes de forte demande comme la vente de billets.

Les bots imitent les humains

Les bots modernes utilisent des navigateurs réels contrôlés par des scripts, imitant précisément le comportement humain. Ils le font si bien que toute métrique technique — comme l’absence de mouvement de la souris — peut également correspondre à des utilisateurs légitimes, notamment ceux utilisant des technologies d’assistance.

En résumé, il n’est plus fiable de distinguer entre humains et bots uniquement en observant leur comportement.

Une solution : les tâches de travail

Certaines plateformes ont commencé à mettre en œuvre des proof of work, des petites tâches computationnelles à résoudre (sans que l’utilisateur s’en rende compte) avant d’accéder. L’idée est de compliquer l’accès automatisé.

Cependant, cela ne fonctionne pas dans la vente de billets : le coût énergétique pour réaliser cette tâche est dérisoire comparé aux bénéfices qu’un revendeur pourrait tirer d’un billet revendu pour des centaines d’euros. De plus, ce modèle est peu durable écologiquement.

Le problème économique des CAPTCHAs

Même s’il existait un CAPTCHA impossible à résoudre par une IA, des services continueront d’exister pour le contourner. Certaines entreprises allient travailleurs mal rémunérés et algorithmes pour dépasser n’importe quelle barrière CAPTCHA pour quelques centimes.

Quelles sont les options restantes ?

Selon Michel, les seules mesures véritablement efficaces sont :

  • Lier les billets à des identités vérifiées comme des noms ou des documents. Cela décourage la revente, mais complique l’achat collectif.
  • Limiter par des ressources rares et difficiles à falsifier, comme les cartes de crédit ou les numéros de téléphone vérifiés. Cela ne supprime pas la fraude, mais la rend plus coûteuse.

Le théorème BAP : un choix difficile

Michel évoque une analogie inspirée du théorème CAP des bases de données : le théorème BAP, qui stipule qu’il est impossible d’avoir simultanément les trois qualités suivantes dans un système anti-bots :

  • B : Résistant aux bots
  • A : Accessible
  • P : Respectueux de la vie privée

Il est seulement possible de choisir deux de ces qualités, aboutissant aux combinaisons suivantes :

  • BA : Résistant et accessible, mais pas respectueux de la vie privée.
  • BP : Résistant et respectueux de la vie privée, mais peu accessible.
  • AP : Accessible et respectueux de la vie privée, mais vulnérable aux bots.

Quelle solution technologique ou sociale ?

En fin de compte, le créateur de Pretix réfléchit : « Les problèmes sociaux ne se résolvent pas uniquement par la technologie. » La législation contre la revente pourrait être une partie du chemin, mais c’est un processus lent et inégal d’un pays à l’autre.

Dans l’intervalle, les organisateurs devront prendre une décision difficile : Protéger contre les bots ou préserver la vie privée et l’accessibilité de leurs utilisateurs ?

À l’ère de l’intelligence artificielle, il semble qu’il est impossible d’avoir le meilleur des deux mondes.

Sources : behind.pretix.eu et Genbeta.

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

L’Inde stimule les centres de semi-conducteurs de seconde ligne avec des incitations massives et des coûts plus bas

Taïwan et NVIDIA donnent le ton de la chaîne d’approvisionnement en IA : les enjeux d’Hon Hai, Accton, Chenbro et Auras face à l’engouement pour Blackwell

Pentester : la plateforme qui démocratise le pentesting et aide à prévenir les cyberattaques avant qu’elles ne se produisent

Oracle, reconnue comme leader dans le Quadrant Magique de Gartner 2025 pour l’Infrastructure Hybride Distribuée

F5 acquiert CalypsoAI pour renforcer la sécurité de l’intelligence artificielle dans les grandes entreprises

Kaspersky lance Next XDR Optimum et MXDR Optimum : cybersécurité avancée pour les PME