Dans notre quête de conformité aux normes RGPD, nous nous sommes récemment plongés dans l'univers des CAPTCHA pour dénicher la meilleure alternative à Google reCAPTCHA, du moins la meilleure pour nous.
Merci pour cette très bonne explication, très claire. Nous avons mis en place un HoneyPot initialement mais lors d'un PenTest les auditeurs nous ont signalé que ça n'était pas suffisant car ils ont réussi à créer des comptes automatiquement. Du coup nous avons opté pour la solution ReCaptcha de Google qui - semble-t-il - deviendra payant en avril prochain. Pourquoi selon toi la solution ReCatcha Google pose problème d'un point de vue RGPD ?
Concernant les faux comptes, c'est très intéressant ce que tu relèves. Lorsqu'une attaque de ce genre survient en généralement un grand nombre de comptes sont créés en peu de temps. C'est donc l'option timestamp_threshold dont j'ai parlé qui nous permet de contrer cela.
En ce qui concerne Google reCAPTCHA, je n'aurais pas grand-chose de plus à dire, si ce n'est que cette société n'est tout simplement pas soumise au RGPD. Google n'est pas connu pour sa transparence sur l'utilisation des donnés.
De mon coté, j'ai longtemps utilisé cette méthode : https://www.deblan.io/post/429/contrer-des-robots-stupides-sans-captcha (+ https://www.deblan.io/post/458/retour-contrer-des-robots-stupides-sans-captcha) qui fait un très gros ménage sur les attaques naïves.
Merci pour ce partage Deblan, très intéressant tes articles !
Bonjour Mélanie,
Merci pour cette très bonne explication, très claire. Nous avons mis en place un HoneyPot initialement mais lors d'un PenTest les auditeurs nous ont signalé que ça n'était pas suffisant car ils ont réussi à créer des comptes automatiquement. Du coup nous avons opté pour la solution ReCaptcha de Google qui - semble-t-il - deviendra payant en avril prochain. Pourquoi selon toi la solution ReCatcha Google pose problème d'un point de vue RGPD ?
Bonjour Maximin, merci pour ton commentaire.
Concernant les faux comptes, c'est très intéressant ce que tu relèves. Lorsqu'une attaque de ce genre survient en généralement un grand nombre de comptes sont créés en peu de temps. C'est donc l'option timestamp_threshold dont j'ai parlé qui nous permet de contrer cela.
En ce qui concerne Google reCAPTCHA, je n'aurais pas grand-chose de plus à dire, si ce n'est que cette société n'est tout simplement pas soumise au RGPD. Google n'est pas connu pour sa transparence sur l'utilisation des donnés.