Prosopo Procaptcha
et CapMonster Cloud

Résolution de captcha, installation sur le site et tests.

Vous avez hérité d’un site doté d’une captcha ou d’une autre couche de protection mais sans accès au code source ? Il est alors naturel de se demander quelle solution est installée, si elle est correctement configurée et comment la tester.

Dans cet article, nous avons essayé de répondre à toutes les questions essentielles. Pour commencer à résoudre le problème, il faut d’abord déterminer quel système de protection est utilisé. Pour cela, vous pouvez consulter la liste des captchas et systèmes de protection antibot les plus populaires, qui présente des exemples visuels et des caractéristiques clés permettant d’identifier rapidement avec quoi vous avez affaire.

Si vous constatez que votre site utilise Prosopo Procaptcha, l’étape suivante consiste à étudier plus en détail ses propriétés et son fonctionnement. Dans cet article, vous pouvez également consulter le guide d’intégration de Prosopo Procaptcha afin de comprendre pleinement la façon dont il fonctionne sur votre site. Cela vous permettra non seulement de mieux connaître la protection en place, mais aussi de planifier correctement sa maintenance.

Qu'est-ce que Procaptcha

Procaptcha est un système de protection développé par Prosopo pour prévenir le spam et les actions automatisées pouvant nuire à un site web. Il aide à distinguer les utilisateurs réels des bots, assurant ainsi la sécurité et la stabilité du site. Si le système doute de l'authenticité d'un visiteur, il propose une tâche de vérification (par exemple, sélectionner certaines images), tout en permettant aux utilisateurs réels de naviguer confortablement et sans interruption.

Exemples de Prosopo Procaptcha

Frictionless CAPTCHA

Captcha invisible. Détecte automatiquement si le visiteur est un utilisateur réel ou un bot. Si l'utilisateur se comporte normalement (navigateur standard, sans automatisation), le captcha se résout discrètement. Si des signes de bot sont détectés, une tâche supplémentaire image est présentée.

Proof of Work (PoW) CAPTCHA

Captcha basé sur un calcul, c’est-à-dire qu’il demande à votre appareil de résoudre une petite tâche de calcul en arrière-plan. L'objectif principal est d'arrêter les bots massifs et le spam, car les systèmes automatisés doivent dépenser du temps et des ressources pour accomplir la tâche. Pour un humain, cela est généralement quasi invisible.

Image CAPTCHA

Captcha visuel classique. Affiche des images et demande de sélectionner celles correspondant à la condition (par exemple, “sélectionnez tous les chevaux”).

Comment résoudre Procaptcha via CapMonster Cloud

Lors des tests de formulaires contenant Prosopo Procaptcha, il est souvent nécessaire de vérifier que la captcha fonctionne et qu’elle est correctement intégrée.

Vous pouvez contrôler manuellement la captcha intégrée à votre site.

Ouvrez la page du formulaire et vérifiez que la captcha s’affiche.
Essayez d’envoyer le formulaire sans la résoudre — le serveur doit renvoyer une erreur.
Après une résolution réussie, l’envoi doit se faire sans problème.

Pour une résolution automatique, utilisez des outils comme CapMonster Cloud qui reçoivent les paramètres de la captcha, les traitent sur leurs serveurs et renvoient un jeton prêt à l’emploi. Insérez ce jeton dans le formulaire pour passer la vérification sans interaction utilisateur.

Travailler avec CapMonster Cloud via l’API comprend généralement les étapes suivantes :

Création de la tâche

À cette étape, vous fournissez votre clé API, le type de captcha et ses paramètres. Le service retourne un taskId unique que vous pouvez utiliser ultérieurement pour obtenir le résultat.

Envoyer une requête API

La requête pour résoudre Prosopo doit inclure les paramètres suivants :

type - ProsopoTask

websiteURL - URL complète de la page contenant le captcha ;

websiteKey - Valeur du paramètre siteKey trouvée sur la page.

Pour en savoir plus sur les paramètres et la façon de les collecter automatiquement avant d’envoyer une tâche, consultez la documentation CapMonster Cloud.

Endpoint pour l’envoi de la tâche :

https://api.capmonster.cloud/createTask

Exemple de requête :


{
"clientKey": "API_KEY",
"task": {
  "type": "ProsopoTask",
  "websiteURL": "https://www.example.com",
  "websiteKey": "5EZU3LG31uzq1Mwi8inwqxmfvFDpj7VzwDnZwj4Q3syyxBwV"
  }
}

Réponse :

{
  "errorId":0,
  "taskId":407533072
}

Réception du résultat

Après avoir créé la tâche, interrogez régulièrement l’état de la solution.

Adresse pour recevoir le résultat :

https://api.capmonster.cloud/getTaskResult

Exemple de requête :

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Réponse :


{
"errorId":0,
"status":"ready",
"solution": {
  "token": "0x00016c68747470733a2f2f70726f6e6f6465332e70726f736f706f2e696fc0354550516f4d5a454463354c704e376774784d4d7a5950547a4136..."
  }
}

Insertion du jeton sur la page

Le token obtenu peut être inséré dans un champ caché du formulaire ou utilisé via une fonction JS sur le site pour valider la solution. Le serveur considérera alors le formulaire comme correctement rempli. Pour l'automatisation et les tests, il est pratique d'utiliser Puppeteer, Selenium ou Playwright pour émuler les actions de l'utilisateur, insérer les tokens et envoyer les formulaires.

Reconnaissance de Procaptcha avec des bibliothèques prêtes à l'emploi

Le service CapMonster Cloud fournit des bibliothèques prêtes à l’emploi pour faciliter le travail en Python, JavaScript (Node.js) et C#.

Python

JavaScript

Résolution, insertion du token et envoi du formulaire

Exemple en Node.js pour un cycle complet de reconnaissance de captcha sur votre page web. Approches possibles : utiliser des requêtes HTTP pour obtenir le HTML et les paramètres du captcha, envoyer la réponse et traiter le résultat ; ou utiliser des outils d'automatisation (ex. Playwright) — ouvrir la page, attendre le captcha, envoyer les paramètres (pour les tests, vous pouvez envoyer des données correctes ou incorrectes), obtenir le résultat via le client CapMonster Cloud, insérer le token dans le formulaire et observer le résultat.


async function sendTokenToSite(token) {
    // URL du formulaire ou endpoint où le token doit être envoyé
    const formURL = "https://example..com/en/your-form-endpoint";

    // Exemple de données du formulaire
    const formData = {
        email: "example@example.com",
        password: "yourpassword",
        "procaptcha-response": token // Token de Procaptcha
    };

    try {
        const response = await fetch(formURL, {
            method: "POST",
            headers: {
                "Content-Type": "application/json", // или 'application/x-www-form-urlencoded' selon le site
            },
            body: JSON.stringify(formData),
        });

        const result = await response.text(); // ou response.json() si le serveur renvoie du JSON
        console.log("Server response:", result);
    } catch (err) {
        console.error("Error sending token:", err);
    }
}

// Fonction principale
async function solveAndSend() {
    const client = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    const prosopoRequest = new ProsopoRequest({
        websiteURL: "https://example.com/en/",
        websiteKey: "5EZU3LG31uzq1Mwi8inwqxmfvFDpj7VzwDnZwj4Q3syyxBwV"
    });

    const balance = await client.getBalance();
    console.log("Balance:", balance);

    const result = await client.Solve(prosopoRequest);
    console.log("Captcha solution:", result);

    // Envoi du token au site
    await sendTokenToSite(result.solution); // result.solution contient le token Procaptcha
}

solveAndSend().catch(console.error);

Il est également possible de tester la reconnaissance de captcha via l'extension de navigateur CapMonster Cloud, qui permet de vérifier rapidement le fonctionnement du captcha directement sur la page et de suivre le processus en temps réel sans coder – disponible pour Chrome et Firefox.

Comment connecter Procaptcha à votre site

Pour comprendre le fonctionnement du captcha sur votre site, sa logique de vérification et pour reconnecter ou reconfigurer, nous recommandons de consulter cette section. Elle décrit le processus d'intégration de la protection et aide à saisir tous les détails.

Vous pouvez également intégrer Procaptcha avec des frameworks populaires (React, Angular, etc.) ou installer la protection sur WordPress. Plus d’informations dans la documentation officielle du projet.

1. Obtenez les clés (sitekey et secret key)

1) Accédez à Portail Prosopo.
2) Allez dans Site Management
3) Cliquez sur Reveal — deux clés apparaîtront :
- sitekey — publique, utilisée côté client.
- secret key — privée, à utiliser uniquement côté serveur.

Important : chaque widget possède son propre jeu de clés. Elles ne peuvent pas être réutilisées pour un autre projet.

2. Ajoutez votre domaine

1) Allez dans Account → Domains.
2) Assurez-vous que votre domaine est listé.
3) Si vous testez localement — ajoutez localhost.
4) Supprimez localhost avant la production.

3. Connectez le script Procaptcha

Placez la balise dans <head>

<script type="module" src="https://js.prosopo.io/js/procaptcha.bundle.js" async defer></script>>

4. Option 1 : rendu implicite (automatique) — PLUS FACILE

Ajoutez un conteneur où le captcha apparaîtra automatiquement :

<div class="procaptcha" data-sitekey="your_site_key"></div>

Généralement à l'intérieur du formulaire.

Exemple de formulaire complet

<html>
    <head>
        <title>Procaptcha Demo</title>
        <script type="module" src="https://js.prosopo.io/js/procaptcha.bundle.js" async defer></script>
    </head>
    <body>
        <form action="" method="POST">
            <input type="text" name="email" placeholder="Email" />
            <input type="password" name="password" placeholder="Password" />
            <div class="procaptcha" data-sitekey="your_site_key"></div>
            <br />
            <input type="submit" value="Submit" />
        </form>
    </body>
</html>

Après la vérification réussie du captcha, un paramètre caché sera ajouté :

5. Option 2 : rendu explicite (manuel) — PLUS DE CONTRÔLE

Exemple HTML


<html>
    <head>
        <script
            type="module"
            id="procaptcha-script"
            src="https://js.prosopo.io/js/procaptcha.bundle.js"
            async
            defer
        ></script>
    </head>
    <body>
        <div id="procaptcha-container"></div>
    </body>
</html>

Exemple JavaScript


document.getElementById('procaptcha-script').addEventListener('load', function () {
    function onCaptchaVerified(output) {
        console.log('Captcha verified, output: ' + JSON.stringify(output))
    }

    const captchaContainer = document.getElementById('procaptcha-container')

    window.procaptcha.render(captchaContainer, {
        siteKey: 'YOUR_SITE_KEY',
        theme: 'dark',
        callback: onCaptchaVerified,
    })
})

6. Configuration du type de captcha (optionnel)

Vous pouvez le choisir explicitement :

frictionless (par défaut)
pow
image

Par exemple :


<div class="procaptcha"
     data-sitekey="your_site_key"
     data-captcha-type="pow">
</div>

7. Étape obligatoire : vérification du token côté serveur

Après le rendu du captcha, le serveur doit vérifier la réponse. La vérification se fait via API :

POST

https://api.prosopo.io/siteverify

Contenu de la requête :

{
    "secret": "your_secret_key",
    "token": "PROCAPTCHA-RESPONSE"
}

8. Vérification côté serveur en PHP

Exemple de code :


<?php
function verifyToken($token) {
    $url = 'https://api.prosopo.io/siteverify';
    $data = json_encode(["secret" => "your_secret_key", "token" => $token]);
    $options = [
        'http' => [
            'header'  => "Content-Type: application/json\r\n",
            'method'  => 'POST',
            'content' => $data,
        ],
    ];
    $context  = stream_context_create($options);
    $result = file_get_contents($url, false, $context);
    $response = json_decode($result, true);

    return $response["verified"] ?? false;
}
?>

Qu'est-ce qui est considéré comme une vérification réussie ?

Si le serveur Procaptcha renvoie :

{
    "verified": true
}

— Captcha réussi, vous pouvez effectuer l'action protégée (par ex., enregistrer un utilisateur).

Erreurs possibles et débogage

Clé de site invalide

Une clé de site incorrecte ou invalide est utilisée. Solution : assurez-vous d'utiliser la clé correcte que vous pouvez trouver dans le tableau de bord Procaptcha.

URL d'origine non autorisée

Le domaine où le widget est installé ne correspond pas au domaine associé à la clé du site. Solution : vérifiez et mettez à jour la liste des domaines dans le portail Procaptcha.

Session non trouvée

Session introuvable ou expirée. Solution : attendez que le widget se recharge (~3 secondes) ou actualisez la page. Si l'erreur persiste, videz le cache et les cookies du navigateur ou contactez le support.

Réponse success=false

Le token a expiré, a été réutilisé ou n'a pas été validé. Pour le diagnostic, activez la journalisation des requêtes et vérifiez le champ error dans la réponse Procaptcha.

Tests de robustesse de la protection

Après l’intégration, vérifiez que le système protège réellement le site contre les actions automatisées.

Essayez d'envoyer une requête sans résoudre le captcha — le serveur doit renvoyer success: false.

Effectuez un test de charge (par ex. avec k6 ou JMeter) à plus de 100 requêtes par seconde — le captcha doit s'afficher correctement et le système de validation rester stable.

Vérifiez la réponse du serveur pour un token expiré ou réutilisé — la réponse attendue doit être 403 Forbidden.

Conseils de sécurité et d’optimisation

Conservez la <b>Secret Key</b> uniquement sur le serveur. Ne la transmettez jamais au client.

Conservez la Secret Key uniquement sur le serveur. Ne la transmettez jamais au client.

Consignez les codes d'erreur <b>(error-codes)</b> pour comprendre pourquoi certaines vérifications ont échoué.

Consignez les codes d'erreur (error-codes) pour comprendre pourquoi certaines vérifications ont échoué.

Ajoutez des liens en bas des formulaires vers la <b>Politique de confidentialité</b> et les <b>Conditions d'utilisation de Procaptcha</b>, si votre implémentation l'exige.

Ajoutez des liens en bas des formulaires vers la Politique de confidentialité et les Conditions d'utilisation de Procaptcha, si votre implémentation l'exige.

Conclusion

Si vous avez récupéré un site avec un captcha ou un autre système de protection déjà installé, mais sans accès au code, pas de panique ! Il est assez simple d’identifier quelle technologie est utilisée. Pour vérifier que tout fonctionne correctement, vous pouvez utiliser le service de reconnaissance CapMonster Cloud dans un environnement de test isolé, afin de vous assurer que le mécanisme de traitement des jetons et la logique de vérification fonctionnent correctement.

Dans le cas de Prosopo Procaptcha, il suffit d’identifier le système, d’étudier son comportement et de vérifier que la protection fonctionne correctement. Dans cet article, nous avons montré comment reconnaître Prosopo Procaptcha et où trouver les instructions pour son intégration ou sa reconfiguration, afin de maintenir la protection en toute confiance et de garder son fonctionnement sous contrôle.

Liens utiles

Documentation de Procaptcha →

Portail Prosopo →

Documentation CapMonster Cloud (travail avec Procaptcha) →

L’extension de navigateur CapMonster Cloud est disponible pour Chrome et Firefox. Le guide complet d’installation et d’utilisation est disponible ici.

Prosopo Procaptcha et CapMonster Cloud

Comment résoudre Procaptcha via CapMonster Cloud

Prosopo Procaptcha
et CapMonster Cloud