Définition
reCAPTCHA v3 est la troisième itération majeure du service CAPTCHA de Google, lancée en octobre 2018. À la différence de ses prédécesseurs — qui demandaient de cocher une case ou de résoudre des puzzles d’image — la v3 est entièrement passive. Elle s’exécute silencieusement en arrière-plan dans le navigateur, en observant les interactions sur la page, et produit un score numérique de risque que vous utilisez côté site pour décider du traitement de la session. Un score de 1,0 indique une forte confiance dans le caractère humain ; un score de 0,0 indique un trafic quasi certainement automatisé.
Le système s’appuie sur l’infrastructure de reCAPTCHA v2 mais supprime la friction des défis explicites. L’objectif déclaré de Google était d’éliminer l’interaction « Je ne suis pas un robot » pour la grande majorité des utilisateurs légitimes, en réduisant l’abandon de panier et de formulaire tout en maintenant ou améliorant la couverture de détection des bots.
Comment fonctionne reCAPTCHA v3
reCAPTCHA v3 fonctionne via une bibliothèque JavaScript chargée depuis https://www.google.com/recaptcha/api.js. Une fois chargée, elle commence à collecter passivement une empreinte comportementale pour la session courante. Les signaux récoltés incluent les trajectoires de souris, le comportement de défilement, les schémas temporels entre les frappes, la séquence d’interactions DOM, l’âge et l’activité du cookie de compte Google dans le navigateur (le cas échéant), et les caractéristiques réseau de la connexion d’origine.
Quand vous souhaitez évaluer une action particulière — soumission de formulaire, clic sur un bouton de vote — vous appelez grecaptcha.execute(siteKey, {action: 'vote'}). Cela déclenche l’infrastructure d’analyse de risque de Google qui calcule un score pour la session et renvoie un jeton signé (un JSON Web Token) au navigateur. Le jeton est ensuite soumis avec les données du formulaire.
Côté serveur, l’application réceptrice envoie le jeton au point de vérification de Google à https://www.google.com/recaptcha/api/siteverify, accompagné de la clé secrète du site. La réponse de Google inclut le score numérique, un horodatage, le nom de l’action et une confirmation de hostname. Le développeur définit un seuil — typiquement 0,5 — sous lequel les soumissions sont bloquées, signalées pour revue, ou redirigées vers un défi secondaire comme reCAPTCHA v2.
reCAPTCHA Enterprise, l’offre payante via Google Cloud, étend la v3 avec des signaux additionnels, des explications de score décomposées par facteur contributif, des fonctions de défense de compte et des SLA garantis.
Où vous le rencontrez
reCAPTCHA v3 est déployé sur une large gamme de propriétés web où la vérification sans friction est prioritaire. Les plateformes de concours et sweepstakes l’intègrent au point de soumission de vote et au formulaire d’inscription. Les plateformes e-commerce l’utilisent à la caisse pour prévenir le credential stuffing. Les sites d’actualité l’appliquent sur les soumissions de commentaires. Les services financiers l’utilisent sur les flux de réinitialisation de mot de passe et de virement. Les plateformes de billetterie s’en servent pour ralentir les bots scalpers durant les ventes à forte demande.
Comme la v3 est invisible, sa présence sur une page n’apparaît pas aux utilisateurs occasionnels — seuls les développeurs examinant la source ou surveillant le trafic réseau remarqueront les appels à l’API recaptcha.
Exemples concrets
Un concours photographique régional en France hébergé sur un micro-site sur mesure intègre reCAPTCHA v3 à son endpoint de vote. Chaque soumission déclenche un appel grecaptcha.execute. Les soumissions sous 0,3 sont écartées silencieusement ; entre 0,3 et 0,5 elles sont journalisées pour revue par lots à la fin du concours ; au-dessus de 0,5 elles sont enregistrées immédiatement. L’opérateur du concours examine les soumissions retenues et disqualifie celles qui partagent une empreinte d’appareil ou proviennent de plages IP concentrées.
Une association nationale organise un concours de subventions où les votes du public déterminent une partie de l’allocation. La plateforme combine reCAPTCHA v3 et confirmation par e-mail. Le score CAPTCHA est stocké avec chaque enregistrement de vote, ce qui permet à l’administrateur de réajuster le seuil après la clôture — ajustant rétroactivement la sensibilité de rejet sur la base de la distribution observée.
Un programme de prix étudiants à l’université déploie reCAPTCHA Enterprise pour bénéficier des explications de score. Le journal d’audit montre qu’une vague de votes à faible score sur une nomination provient d’un même sous-réseau, et le décompte de cette nomination est ajusté avant l’annonce des lauréats.
Concepts liés
reCAPTCHA v3 s’inscrit aux côtés des générations CAPTCHA antérieures dans le même écosystème de détection. L’entrée de base reCAPTCHA couvre la mécanique des v1 et v2 en détail. hCaptcha et Cloudflare Turnstile sont des systèmes concurrents offrant des compromis différents en matière de confidentialité, de type de défi et de dépendance fournisseur. La biométrie comportementale décrit la catégorie plus large de mesure passive d’interaction qui sous-tend l’approche de scoring de reCAPTCHA v3.
Limites / Mises en garde
reCAPTCHA v3 délègue entièrement la décision de seuil à l’opérateur du site, ce qui crée une incohérence entre déploiements. Un site fixant le seuil à 0,3 accepte sensiblement plus de trafic bot qu’un site à 0,7. Google ne publie pas les signaux ou poids spécifiques derrière le score, rendant l’audit indépendant impossible. De plus, comme le système s’appuie en partie sur la télémétrie des comptes Google, vous, en tant qu’utilisateur non connecté à Google ou utilisant un navigateur bloquant les cookies Google, pouvez recevoir des scores plus bas que votre comportement ne le mériterait, ce qui peut déclencher des faux positifs pour des votants légitimes.
