CAPTCHA, Reddit, ChatGPT : pourquoi cocher « je ne suis pas un robot » ne vous protège plus comme vous le pensez

Alors que des agents IA cochent sans peine « Je ne suis pas un robot », Reddit s'apprête à vérifier l'identité de certains membres. Jusqu'où ira la vérification des bots ?
CAPTCHA, Reddit, ChatGPT : pourquoi cocher « je ne suis pas un robot » ne vous protège plus comme vous le pensez
© Reworld Media

Ironie du web : pendant que l'on coche péniblement des cases "Je ne suis pas un robot", des agents d'intelligence artificielle les valident désormais tout seuls. Récemment, l'agent ChatGPT d'OpenAI a franchi un contrôle de Cloudflare en pleine tâche de conversion vidéo, laissant planer un doute sur la solidité des barrières dressées contre les robots.

Dans un autre coin d'Internet, des bots créés par l'Université de Zurich ont publié plus de 1 700 commentaires sur le subreddit Change My View en se faisant passer pour de vrais utilisateurs, avant que Reddit ne dénonce publiquement l'opération. Entre tests visuels, analyse des clics et bientôt vérification d'identité, la question devient simple : qui prouve encore qu'il est humain ?

Vérification des bots : des CAPTCHA aux signaux comportementaux

Longtemps, la défense classique contre les robots s'est appelée CAPTCHA : ces textes déformés, puis ces mosaïques d'images où l'on devait cliquer sur des vélos ou des feux tricolores. Avec reCAPTCHA de Google, chaque bonne réponse aidait d'abord à numériser des livres, puis à lire des adresses de Google Street View, et aujourd'hui à entraîner des modèles de reconnaissance d'images.

Avec le temps, ces défis sont devenus moins visibles. Les versions récentes fonctionnent surtout comme des ralentisseurs, en observant le comportement de l'utilisateur. Le système Cloudflare Turnstile va plus loin : il examine les mouvements de la souris, le timing des clics, l'empreinte du navigateur, la réputation de l'adresse IP et les scripts JavaScript exécutés avant même d'afficher un puzzle classique.

Quand l'IA franchit la vérification des bots plus vite que les humains

En 2024, des chercheurs ont montré qu'un modèle d'IA combiné à des algorithmes de type YOLO pouvait résoudre 100 % des reCAPTCHA v2 basés sur des images. Autrement dit, les puzzles supposés distinguer les humains des machines deviennent des exercices scolaires pour des réseaux neuronaux entraînés sur des millions d'exemples.

La démonstration la plus frappante reste celle de l'agent ChatGPT contrôlant seul son navigateur. Face à la case Cloudflare "Je ne suis pas un robot", il clique et commente que "cette étape est nécessaire pour prouver que je ne suis pas un robot". L'utilisateur Reddit "logkn" a publié des captures montrant l'IA passer cette vérification des bots sans effort, comme un internaute pressé parmi d'autres.

Reddit mise sur la vérification d'identité pour garder ses utilisateurs humains

Sur Reddit, l'inquiétude est montée d'un cran quand cette expérience universitaire a été révélée. La plateforme a parlé d'une "expérience inappropriée et hautement contraire à l'éthique" et a décidé de porter plainte, tout en promettant de mieux protéger ses communautés contre des robots capables d'adopter le ton et les émotions de vraies personnes.

Dans un message, le PDG Steve Huffman a annoncé une collaboration avec des services tiers pour vérifier l'humanité et l'âge de certains membres : "Plus précisément, nous devrons savoir si vous êtes un humain et, dans certains endroits, si vous êtes majeur. Mais nous ne voulons jamais connaître votre nom ni votre identité", a expliqué Steve Huffman, cité par Siècle Digital. Il affirme aussi que "L'anonymat est essentiel sur Reddit" et que la plateforme "continuera à repousser les demandes excessives ou déraisonnables des autorités publiques ou privées".