Cloudflare Waiting Room
et CapMonster Cloud

Résolution de captcha, installation sur le site et tests.

Vous avez hérité d’un site doté d’une captcha ou d’une autre couche de protection mais sans accès au code source ? Il est alors naturel de se demander quelle solution est installée, si elle est correctement configurée et comment la tester.

Dans cet article, nous avons essayé de répondre à toutes les questions essentielles. Pour commencer à résoudre le problème, il faut d’abord déterminer quel système de protection est utilisé. Pour cela, vous pouvez consulter la liste des captchas et systèmes de protection antibot les plus populaires, qui présente des exemples visuels et des caractéristiques clés permettant d’identifier rapidement avec quoi vous avez affaire.

Si vous constatez que votre site utilise Cloudflare Waiting Room, l’étape suivante consiste à étudier plus en détail ses propriétés et son fonctionnement. Dans cet article, vous pouvez également consulter le guide d’intégration de Cloudflare Waiting Room afin de comprendre pleinement la façon dont il fonctionne sur votre site. Cela vous permettra non seulement de mieux connaître la protection en place, mais aussi de planifier correctement sa maintenance.

Qu'est-ce que Cloudflare Waiting Room

Cloudflare Waiting Room est une file d'attente virtuelle qui protège le site contre la surcharge lors d'une augmentation soudaine du trafic. S'il y a trop de visiteurs, les utilisateurs « excédentaires » sont temporairement redirigés vers une page d'attente, où ils voient des informations sur leur position dans la file et le temps d'attente estimé. Dès qu'une place se libère, ils accèdent automatiquement au site.

Comment résoudre Waiting Room via CapMonster Cloud

Lors du test du mécanisme Waiting Room, il est important de s'assurer que la file d'attente fonctionne correctement et régule l'accès au site.

Voici comment vous pouvez le vérifier :

Ouvrez la page sur laquelle le Waiting Room est activé et assurez-vous que la file d'attente s'affiche lorsque la limite d'utilisateurs est dépassée.
Essayez d'accéder au site depuis plusieurs appareils ou navigateurs simultanément pour créer artificiellement une charge — une partie des requêtes devrait être mise en file d'attente.
Vérifiez que les utilisateurs placés dans la file voient la page d'attente et sont ensuite automatiquement admis sur le site lorsqu'une place se libère.
Assurez-vous que l'actualisation de la page ne fait pas sortir l'utilisateur de la file d'attente.

Pour les tests automatisés et la reconnaissance de captcha, vous pouvez utiliser des services spécialisés, comme CapMonster Cloud — un outil qui reçoit les paramètres du captcha, les traite sur ses serveurs et renvoie une solution prête à l'emploi. Cette solution (jeton ou cookie) peut être insérée dans un formulaire ou un navigateur pour passer la vérification sans intervention de l'utilisateur.

Travailler avec CapMonster Cloud via l’API comprend généralement les étapes suivantes :

Création de la tâche

À cette étape, vous transmettez votre clé API, le type de captcha et ses paramètres. Le service renvoie un taskId unique, grâce auquel vous pourrez récupérer le résultat plus tard.

Envoyer une requête API

Dans la requête pour résoudre Cloudflare Waiting Room, il est nécessaire d'indiquer les paramètres suivants :

type - TurnstileTask;

websiteURL - adresse de la page où se trouve la vérification;

websiteKey - clé Cloudflare sur le site cible;

cloudflareTaskType - wait_room;

htmlPageBase64 - Page HTML au format base64 contenant le titre <title>Waiting Room powered by Cloudflare</title>;

userAgent - User-Agent du navigateur. Transmettez uniquement un UA actuel de l'OS Windows;

De plus, pour cette tâche, l'utilisation de vos propres proxies est nécessaire :

proxyType :

http - proxy HTTP/HTTPS ordinaire;
https - essayez cette option si « http » ne fonctionne pas (nécessaire pour certains proxies personnalisés);
socks4 - proxy de type SOCKS4;
socks5 - proxy de type SOCKS5;

proxyAddress - Adresse IP du proxy IPv4/IPv6;

proxyPort - port du proxy;

proxyLogin - identifiant du serveur proxy;

proxyPassword - mot de passe du serveur proxy.

Pour en savoir plus sur les paramètres et la façon de les collecter automatiquement avant d’envoyer une tâche, consultez la documentation CapMonster Cloud.

Endpoint pour l’envoi de la tâche :

https://api.capmonster.cloud/createTask

Exemple de requête :

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "wait_room",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Réponse :

{
  "errorId":0,
  "taskId":407533072
}

Réception du résultat

Après avoir créé la tâche, interrogez régulièrement l’état de la solution.

Adresse pour recevoir le résultat :

https://api.capmonster.cloud/getTaskResult

Exemple de requête :

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Réponse :

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

Substitution de cf_clearance

La solution obtenue (cookie cf_clearance) peut être installée dans le navigateur ou envoyée avec la requête HTTP, en l'indiquant dans l'en-tête Cookie: cf_clearance=. De plus, pour l'automatisation et les tests, il est pratique d'utiliser Puppeteer, Selenium ou Playwright, qui permettent d'émuler les actions de l'utilisateur, d'insérer des cookies et de soumettre des formulaires.

Ci-dessous se trouve un exemple de requête vers votre page avec des valeurs de cookie obtenues à l'avance. C'est utile pour les tests : vous pouvez transmettre des valeurs correctes ou intentionnellement incorrectes pour vous assurer que votre logique de traitement d'accès et de validation fonctionne correctement.

GET https://example.com/

sec-ch-ua: "Google Chrome";v="141", "Not?A_Brand";v="8", "Chromium";v="141"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
accept-encoding: gzip, deflate, br
accept-language: en-US
cookie: cf_clearance=Jf0udVxx.pxJMEHnish22ZOFt4WZEh8iLKm62gIxQAw-1760087570-1.2.1.1-IAO44jrcaDIU6v3f01Q6MpH58vo521.cgZg9OG5ASav.EIf9fmqH2yETyPkmm7dExFNlRL.dYv6xA4iPtlwMepInUaeFinDbYtoMstD_9Vyexx2B2K.r4eJb9zMCQc0XA3yYDHViOC7cYBYHi58FbvycjBe4o236lyz2eoyC48IS.K1zSsVdqBqIoXIT4tEFYdibXdWudtp57lmyjwpryZy..fGFAcFjAGn3iho98_4
sec-ch-ua-arch: "x86"
sec-ch-ua-bitness: "64"
sec-ch-ua-full-version: "141.0.7390.55"
sec-ch-ua-platform-version: "19.0.0"
sec-ch-ua-model: ""
sec-ch-ua-full-version-list: "Google Chrome";v="141.0.7390.55", "Not?A_Brand";v="8.0.0.0", "Chromium";v="141.0.7390.55"
Origin: https://example.com
Upgrade-Insecure-Requests: 1

Il existe également une excellente opportunité de tester la reconnaissance de captchas à l'aide de l'extension de navigateur CapMonster Cloud, qui permet de vérifier rapidement le fonctionnement du captcha directement sur la page et de suivre le processus de résolution en temps réel sans écrire de code – disponible pour une installation sur Chrome et Firefox.

Comment connecter Cloudflare Waiting Room à votre site

Pour vous orienter avec assurance dans le fonctionnement du captcha sur votre site, comprendre la logique de sa vérification, le reconnecter ou le reconfigurer, nous vous recommandons d'étudier cette section. Elle décrit le processus de connexion de la protection — cela vous aidera à comprendre rapidement toutes les nuances.

Exigences et préparation

Plan Cloudflare : Waiting Room est disponible pour les plans Business et Enterprise.
CDN et Proxying : Votre site doit être connecté à Cloudflare, et l'enregistrement DNS pour le domaine ou sous-domaine doit être en statut proxied.
Cookies : Les visiteurs doivent supporter les cookies, car Cloudflare les utilise pour suivre la position dans la file.
Décidez quelles pages/utilisateurs seront dans la file et lesquels contourneront le Waiting Room (par exemple, administrateurs, VIP, certains chemins).

1. Inscrivez-vous sur Cloudflare et connectez votre site.

2. Dans la section Traffic → Waiting Room, créez une nouvelle file d'attente :

3. Cliquez sur Create Waiting Room.

Indiquez :

Hostname / URL où le Waiting Room sera actif.
Le nom du Waiting Room (pour la gestion interne).
Le nombre maximum d'utilisateurs admis simultanément (facultatif, si une charge limitée est nécessaire).

4. Personnalisez le design de la page d'attente :

Vous pouvez utiliser le modèle Cloudflare ou du HTML/CSS personnalisé.
Ajoutez un logo, des informations sur le temps d'attente et des instructions pour les utilisateurs.

5. Enregistrez et activez le Waiting Room.

6. Configuration des règles (Rules)

Cloudflare permet d'exclure certains trafics de la file d'attente.

Règles de contournement typiques (Bypass Rules) :

Adresses IP de l'administrateur : toujours autoriser.
Chemins/URL : exclure les fichiers statiques (.js, .css, .png) ou certaines pages.
Ciblage géographique : exclure certains pays.
Query string : exclure certains paramètres GET.

Exemple de règle de contournement de chemin dans le Dashboard

Dans Waiting Room → Manage Rules → Create new bypass rule.
Configurez :
- Rule Name : Bypass JS Files
- Expression : ends_with(http.request.uri.path, ".js")
- Action : Bypass Waiting Room
Enregistrez et déployez (Deploy).

Toutes les règles de contournement permettent d'exclure le trafic du décompte des utilisateurs actifs, afin qu'il n'affecte pas la file d'attente.

Fonctionnalités avancées :

Scheduled Event : activation du Waiting Room uniquement à des moments précis (par exemple, pour des soldes).
Analytics : suivi du nombre d'utilisateurs dans la file, du temps d'attente et du débit.
Hostnames/paths supplémentaires : un seul Waiting Room peut fonctionner sur plusieurs sous-domaines ou chemins.

Gestion via API :

L'API Cloudflare Waiting Room permet :

De créer, modifier et supprimer des règles de contournement.
De consulter la liste des règles.
De gérer tous les paramètres du Waiting Room par programmation.

Exemple de création d'une règle de contournement via l'API

POST zones/{zone_id}/waiting_rooms/{room_id}/rules
Content-Type: application/json
Authorization: Bearer <API_TOKEN>

{
  "description": "Bypass admins",
  "expression": "ip.src in { '1.2.3.4', '5.6.7.8' }",
  "action": "bypass_waiting_room",
  "enabled": true
}

Vérification du fonctionnement

1) Ouvrez le site depuis différents navigateurs/appareils.

2) Vérifiez :

Le Waiting Room apparaît-il lors du dépassement de la limite ?
La position dans la file est-elle conservée lors de l'actualisation de la page ?
Les règles de contournement fonctionnent-elles (par exemple, l'IP administrateur passe sans attendre) ?

Erreurs possibles et débogage

Domaine invalide ou mauvaise configuration de la file

La page waiting room ne s'affiche pas. Vérifiez que la règle de la file est liée au bon URI, chemin ou hôte.

Délai d'attente dépassé lors du chargement de la page ou du jeton de file

Le client n'a pas attendu la réponse du serveur. Augmentez les délais d'attente (timeouts) dans les tests et le monitoring pour traiter correctement les retards.

Nouvelle vérification ou jeton de file expiré

Si l'utilisateur utilise un jeton déjà expiré ou des cookies invalides, le système affichera à nouveau la page d'attente.

Conflit avec d'autres vérifications d'accès

L'utilisation simultanée de Waiting Room et d'autres règles d'autorisation/protection contre les bots peut entraîner des vérifications cycliques. Suivez les recommandations sur la séquence des vérifications et la logique de contournement pour les utilisateurs.

Tests de robustesse de la protection

Après l’intégration, vérifiez que le système protège réellement le site contre les actions automatisées.

Essayez de demander la page sans cookies spéciaux — l'utilisateur doit tomber dans la waiting room.

Testez une nouvelle tentative d'accès avec les cookies déjà installés — l'utilisateur doit contourner la file et accéder au contenu principal.

Effectuez un test de charge (par exemple, avec k6 ou JMeter) avec un taux de requêtes élevé — la page waiting room doit s'afficher correctement et le serveur de file d'attente doit rester stable.

Vérifiez la réaction du serveur en cas de cookies/jetons expirés ou incorrects. Le résultat attendu est que l'utilisateur retombe sur la page d'attente.

Conseils de sécurité et d’optimisation

Configurez les règles de la file et le TTL des jetons en fonction du niveau de charge et des risques

Configurez les règles de la file et le TTL des jetons en fonction du niveau de charge et des risques

Stockez tous les secrets (par exemple, les clés de signature de jeton) uniquement sur le serveur

Stockez tous les secrets (par exemple, les clés de signature de jeton) uniquement sur le serveur

Loguez les événements de la file et le statut de passage pour comprendre pourquoi les utilisateurs tombent dans la waiting room et identifier les faux positifs.

Loguez les événements de la file et le statut de passage pour comprendre pourquoi les utilisateurs tombent dans la waiting room et identifier les faux positifs.

Pour plus de transparence, ajoutez des liens vers la <b>Politique de confidentialité</b> et les <b>Conditions d'utilisation du site sur les pages waiting room</b>.

Pour plus de transparence, ajoutez des liens vers la Politique de confidentialité et les Conditions d'utilisation du site sur les pages waiting room.

Conclusion

Si vous avez récupéré un site avec un captcha ou un autre système de protection déjà installé, mais sans accès au code, pas de panique ! Il est assez simple d’identifier quelle technologie est utilisée. Pour vérifier que tout fonctionne correctement, vous pouvez utiliser le service de reconnaissance CapMonster Cloud dans un environnement de test isolé, afin de vous assurer que le mécanisme de traitement des jetons et la logique de vérification fonctionnent correctement.

Dans le cas de Cloudflare Waiting Room, il suffit d’identifier le système, d’étudier son comportement et de vérifier que la protection fonctionne correctement. Dans cet article, nous avons montré comment reconnaître Cloudflare Waiting Room et où trouver les instructions pour son intégration ou sa reconfiguration, afin de maintenir la protection en toute confiance et de garder son fonctionnement sous contrôle.

Liens utiles

Documentation Cloudflare Waiting Room →

Documentation CapMonster Cloud (travail avec Cloudflare Waiting Room) →

Qu'est-ce que Cloudflare CAPTCHA et comment le résoudre avec CapMonster Cloud →

Comment Cloudflare détecte le trafic automatisé : protection du site contre les bots →

L’extension de navigateur CapMonster Cloud est disponible pour Chrome et Firefox. Le guide complet d’installation et d’utilisation est disponible ici.

Cloudflare Waiting Room et CapMonster Cloud

Comment résoudre Waiting Room via CapMonster Cloud

Cloudflare Waiting Room
et CapMonster Cloud