Récemment, Google teste une nouvelle fonctionnalité pour renforcer la vérification reCAPTCHA : la « vérification des gestes de la main » (HGV), qui collecte des vidéos des mains des utilisateurs pour déterminer s'il s'agit de vraies personnes. Cependant, cette fonctionnalité a rapidement suscité une controverse en termes de confidentialité et de sécurité.

Selon la documentation officielle de Google, HGV exige que les visiteurs du site Web autorisent l'accès à la caméra de leur appareil pour enregistrer « un ou plusieurs » clips vidéo de leurs mains. Pendant le processus de vérification, l'utilisateur doit saluer ou faire un geste désigné devant la caméra, et le système extraira les caractéristiques biométriques clés pour déterminer si l'opérateur est un humain plutôt qu'un script automatisé ou un robot.

Google estime que cette méthode d'identification biométrique peut améliorer la sécurité de reCAPTCHA, mais les résultats des tests réels montrent que les poids lourds n'ont pas obtenu les résultats escomptés. Les chercheurs en sécurité et les utilisateurs ordinaires ont utilisé avec succès des images d'archives et des fonctions de caméra virtuelle pour contourner ce système : l'attaquant n'a qu'à préparer une photo de « signe de la main » ou de main correspondant au mouvement, et la vérification peut être effectuée via la sortie de caméra virtuelle d'un logiciel tel qu'OBS Studio, sans avoir besoin d'une véritable caméra et d'une vraie personne pour coopérer.

Avec les progrès de l'apprentissage automatique et de la technologie d'automatisation, les systèmes de codes de vérification existants ont été fréquemment « cassés » par les robots IA. De nombreuses études ont montré que les codes de vérification graphique traditionnels tels que la reconnaissance complexe des feux de signalisation peuvent être résolus par des outils automatisés dans la plupart des cas. Les premiers cas d'échec de poids lourds soulignent en outre que même si la biométrie est introduite, si le processus d'interaction et le canal lui-même manquent de conception anti-contrefaçon, ils peuvent également être contournés par lots par des caméras virtuelles, des images de stock et de simples scripts.

Outre l’efficacité technique, les questions de confidentialité sont également devenues un sujet de controverse. Les critiques soulignent que de tels systèmes de vérification basés sur des caméras et la biométrie « normaliseront » de manière invisible la surveillance continue des utilisateurs en arrière-plan, permettant ainsi aux utilisateurs de divulguer des données de caméra plus sensibles aux grandes entreprises technologiques afin d'accéder à des sites Web ordinaires. Dans l’environnement actuel de plus en plus sensible à la vie privée, demander aux utilisateurs de fournir fréquemment des images ou des vidéos en direct est probablement considéré comme une collecte de données excessive.

En réponse à des doutes externes, Google a déclaré que HGV n'est utilisé que pour reconnaître les gestes lors de l'enregistrement de vidéos, et ne collectera ni ne traitera de contenu audio, et que la vidéo sera « supprimée dès que possible » une fois la vérification terminée. La note officielle souligne également que ces vidéos "ne seront pas" directement liées à l'identité de l'utilisateur. Cependant, certains experts en sécurité et en confidentialité estiment qu'il est difficile d'éliminer les doutes sur cet engagement : d'une part, les utilisateurs ordinaires ne peuvent pas vérifier la politique réelle de conservation des données du système back-end ; d'un autre côté, l'infrastructure cloud des grandes plates-formes dispose souvent de mécanismes de sauvegarde et de reprise après sinistre redondants, et le cycle de vie réel des données peut être bien plus compliqué que ce que l'interface frontale affiche.

Cette préoccupation n’est pas sans fondement. Dans une précédente affaire très médiatisée, une vidéo « supprimée » de la caméra Nest de Google avait été récupérée du système cloud et utilisée pour aider à l'enquête sur un incident d'enlèvement à haut risque. Ce cas est considéré comme la preuve que même si le contenu affiché sur l'interface front-end a été supprimé, le système back-end peut toujours conserver une copie des données correspondantes sous certaines conditions. Les critiques se demandent donc si les données vidéo enregistrées par les poids lourds seront également conservées dans certains scénarios ou utilisées pour entraîner divers modèles, dont Gemini, amplifiant ainsi les risques potentiels pour la vie privée.

Alors que le trafic automatisé et l’activité des robots malveillants continuent de croître, l’évolution de la technologie CAPTCHA reste clairement un problème important auquel sont confrontées les grandes plateformes. Toutefois, à en juger par les premières performances des poids lourds, l’introduction de caméras et de mesures biométriques ne peut à elle seule garantir une sécurité accrue. Au lieu de cela, cela peut exposer les utilisateurs à des risques plus importants en matière de confidentialité à l’avance lorsque la technologie n’est pas encore mature. Alors que les acteurs du secteur, notamment Cloudflare et les fabricants de navigateurs, explorent activement des solutions de « dé-captcha » pour réduire les frictions des utilisateurs, trouver un équilibre entre sécurité, prévention des abus et protection de la vie privée devient un problème auquel l'ensemble du secteur doit faire face.