
reCAPTCHA v4 : faites coucou à la caméra !
Les captchas classiques touchent leurs limites. Google déploie une nouvelle version de son système anti-bot, reCAPTCHA v4, intégrée à son WAF (Web Application Firewall). La nouveauté ? Une demande d'accès à votre webcam pour vous demander de faire un geste avec la main. Ce changement s'impose face à la capacité des IA de vision à résoudre les défis visuels traditionnels (les feux de signalisations et autres passages cloutés).
Pourquoi remplacer les grilles d'images ?
Les systèmes de vision par ordinateur décryptent les grilles d'images (passages piétons, vélos, feux tricolores) avec une précision proche de 100 %. Le coût de résolution pour un bot est devenu inférieur à la perte de temps qu'impose ce défi à un humain !
Un script automatisé n'hésite pas devant une image floue. Un humain, si. Le système perdait son utilité première et devenait contre-productif pour l'expérience utilisateur.
Comment fonctionne la vérification par geste ?
L'interface affiche une fenêtre demandant l'autorisation d'utiliser la caméra. L'instruction est de bouger la main devant l'objectif. L'algorithme analyse le mouvement en temps réel. Il cherche des caractéristiques physiques difficiles à simuler :
- La fluidité articulaire des doigts
- Les micro-tremblements musculaires naturels
- La réaction de la peau à la lumière de l'environnement
Le texte de l'interface précise que seule la tracking du mouvement est capturée et que l'image n'est pas stockée sur les serveurs. Un bouton "Try another" permet de refuser la caméra et de retomber sur une grille d'images classique.

Une barrière temporaire face aux deepfakes
Faire un geste devant son écran règle le problème immédiat des bots, mais soulève une faille logique. Les outils de génération vidéo progressent vers le streaming temps réel. Un bot pourrait injecter un flux vidéo falsifié (deepfake) via un pilote de caméra virtuelle.
Deux éléments freinent cette attaque aujourd'hui :
- La latence de génération d'un mouvement 3D réaliste avec un éclairage cohérent reste trop élevée pour réponddre en une seconde.
- Les scripts de sécurité détectent les signatures des pilotes de caméras virtuelles (comme OBS) et bloquent le flux.
Google en a conscience. Cette méthode est une solution temporaire. La défense principale repose sur l'analyse comportementale invisible (reCAPTCHA v3) : la trajectoire de la souris, le rythme de frappe, la réputation de l'adresse IP. Le geste de la main ne s'active que si le score comportemental est douteux.
Sources
- Documentation Google reCAPTCHA : Présentation officielle des intégrations WAF et des défis interactifs.
- Google Cloud Blog : Annonces sur l'évolution de la sécurité contre les bots automatisés.
Qu'est-ce que reCAPTCHA v4 ?
Désigne la version du système anti-bot de Google basée sur une analyse de risque continue et des défis physiques, comme la reconnaissance de gestes via la webcam.
Les images de la webcam sont-elles sauvegardées par Google ?
Non. L'interface indique que seuls les vecteurs de mouvement sont analysés localement, sans stockage des images sur les serveurs.
Peut-on refuser l'accès à la caméra lors du captcha ?
Oui. Le bouton "Try another" permet de passer à un défi alternatif, comme la sélection d'images classique.





