reCAPTCHA v2 Enterprise
et CapMonster Cloud

Résolution de captchas, intégration sur le site et tests de bout en bout.

Vous avez hérité d’un site doté d’une captcha ou d’une autre couche de protection mais sans accès au code source ? Il est alors naturel de se demander quelle solution est installée, si elle est correctement configurée et comment la tester.

Dans cet article, nous avons essayé de répondre à toutes les questions essentielles. Pour commencer à résoudre le problème, il faut d’abord déterminer quel système de protection est utilisé. Pour cela, vous pouvez consulter la liste des captchas et systèmes de protection antibot les plus populaires, qui présente des exemples visuels et des caractéristiques clés permettant d’identifier rapidement avec quoi vous avez affaire.

Si vous constatez que votre site utilise reCAPTCHA v2 Enterprise, l’étape suivante consiste à étudier plus en détail ses propriétés et son fonctionnement. Dans cet article, vous pouvez également consulter le guide d’intégration de reCAPTCHA v2 Enterprise afin de comprendre pleinement la façon dont il fonctionne sur votre site. Cela vous permettra non seulement de mieux connaître la protection en place, mais aussi de planifier correctement sa maintenance.

Qu’est-ce que Google reCAPTCHA v2 Enterprise

reCAPTCHA v2 Enterprise est la version professionnelle de la protection standard de Google contre le spam et les attaques automatisées. Elle identifie plus précisément si un humain ou un bot est présent sur la page et utilise l’API Google Cloud pour valider les jetons. Visuellement, elle ressemble à la v2 classique avec case à cocher et défis visuels, mais charge https://www.google.com/recaptcha/enterprise.js pour une sécurité renforcée.

Comment résoudre reCAPTCHA v2 Enterprise avec CapMonster Cloud

Lors des tests de formulaires contenant reCAPTCHA v2 Enterprise, il est souvent nécessaire de vérifier que la captcha fonctionne et qu’elle est correctement intégrée.

Vous pouvez contrôler manuellement la captcha intégrée à votre site.

Ouvrez la page du formulaire et vérifiez que la captcha s’affiche.
Essayez d’envoyer le formulaire sans la résoudre — le serveur doit renvoyer une erreur.
Après une résolution réussie, l’envoi doit se faire sans problème.

Pour une résolution automatique, utilisez des outils comme CapMonster Cloud qui reçoivent les paramètres de la captcha, les traitent sur leurs serveurs et renvoient un jeton prêt à l’emploi. Insérez ce jeton dans le formulaire pour passer la vérification sans interaction utilisateur.

Travailler avec CapMonster Cloud via l’API comprend généralement les étapes suivantes :

Création de la tâche

À cette étape, vous envoyez votre clé API, le type de captcha et les paramètres. Le service renvoie un taskId unique pour récupérer le résultat plus tard.

Envoyer une requête API

Votre requête doit inclure :

type - RecaptchaV2EnterpriseTask;

websiteURL - l’adresse de la page où s’affiche la captcha;

websiteKey - le sitekey indiqué sur cette page;

enterprisePayload - à fournir si votre widget reCAPTCHA Enterprise transmet un champ s supplémentaire dans l’objet envoyé à grecaptcha.enterprise.render avec le sitekey;

pageAction - la valeur action envoyée par le widget à Google. Par défaut : verify.

Pour en savoir plus sur les paramètres et la façon de les collecter automatiquement avant d’envoyer une tâche, consultez la documentation CapMonster Cloud.

Endpoint pour l’envoi de la tâche :

https://api.capmonster.cloud/createTask

Exemple de requête :

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2EnterpriseTask",
    "websiteURL": "https://mydomain.com/page-with-recaptcha-enterprise",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd",
    "pageAction": "verify",
    "enterprisePayload": {
      "s": "SOME_ADDITIONAL_TOKEN"
    }
  }
}

Réponse :

{
  "errorId":0,
  "taskId":407533072
}

Réception du résultat

Après avoir créé la tâche, interrogez régulièrement l’état de la solution.

Adresse pour recevoir le résultat :

https://api.capmonster.cloud/getTaskResult

Exemple de requête :

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Réponse :

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis..."
  }
}

Insertion du jeton sur la page

Insérez le jeton retourné (valeur "gRecaptchaResponse") dans un champ masqué ou passez-le à une fonction JS pour confirmer la solution. Le serveur acceptera ensuite le formulaire. Pour automatiser, utilisez Puppeteer, Selenium ou Playwright afin de simuler l’utilisateur, injecter les jetons et envoyer les formulaires.

Vous pouvez aussi choisir la méthode par clics. Consultez la documentation CapMonster Cloud pour plus d’informations.

Résoudre reCAPTCHA v2 Enterprise avec des bibliothèques prêtes à l’emploi

CapMonster Cloud propose des SDK pour Python, JavaScript (Node.js) et C# pour une intégration rapide.

Python

JavaScript

Résoudre, insérer le jeton et envoyer le formulaire

Exemple Node.js couvrant tout le cycle sur votre page : récupérer HTML et paramètres via HTTP, envoyer la réponse et traiter le résultat, ou utiliser des outils d’automatisation (Playwright, etc.) pour ouvrir la page, attendre la captcha, envoyer des paramètres (valides ou de test), récupérer le résultat via le client CapMonster Cloud, insérer le jeton dans le formulaire et observer le comportement.

import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2EnterpriseRequest } from '@zennolab_com/capmonstercloud-client';

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  // 2. Ouvrir la page contenant la captcha
  await page.goto('https://example.com');

  // 3. Créer un client CapMonster Cloud
  const cmcClient = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: '<your_capmonster_cloud_api_key>' })
  );

  // 4. Configurer la requête de résolution
  const recaptchaRequest = new RecaptchaV2EnterpriseRequest({
    websiteURL: page.url(),
    websiteKey: '6Lf76sUnAAAAAIKLuWNyegRsFUfmI-3Lex3xT5N'
    // enterprisePayload: { s: 'SOME_ADDITIONAL_TOKEN' } // Paramètre Enterprise optionnel
  });

  // 5. Résoudre la captcha via CapMonster
  const solution = await cmcClient.Solve(recaptchaRequest);
  const token = solution.solution.gRecaptchaResponse;
  console.log('Jeton du captcha:', token);

  // 6. Insérer le jeton dans un champ caché
  await page.evaluate((t) => {
    const el = document.getElementById('g-recaptcha-response');
    if (el) el.value = t;
  }, token);

  // 7. (Optionnel) Soumettre le formulaire — adaptez le sélecteur
  await page.click('button[data-action="submit"]');

  await page.waitForTimeout(5000);
  await browser.close();
})();

L’extension CapMonster Cloud pour navigateur permet aussi de tester la captcha directement sur la page et de suivre la résolution en temps réel sans écrire de code. Disponible pour Chrome et Firefox.

Comment connecter reCAPTCHA v2 Enterprise à votre site

Pour comprendre comment le captcha fonctionne sur votre site, comment se comporte la validation et comment le reconnecter ou le reconfigurer, consultez cette section. Elle décrit l’ensemble de la configuration de la protection afin que vous puissiez couvrir rapidement chaque détail.

Comme reCAPTCHA Enterprise fonctionne sur Google Cloud, vous devez d’abord créer un projet dans la console :

1. Accédez à la Google Cloud Console.

2. Dans le menu supérieur, choisissez un projet existant ou cliquez sur Nouveau projet.

3. Saisissez un nom de projet, indiquez votre organisation et confirmez la création.

HowTo Connect image 1

4. Ouvrez la page de l’API : reCAPTCHA Enterprise API et cliquez sur Activer.

5. Dans la console, allez sur Créer une clé puis cliquez sur Créer une clé.

HowTo Connect image 2

6. Configurez les paramètres de base :

Nom d’affichage : tout libellé qui vous aide à identifier la clé (par exemple, MySite Login Page).
Type d’application : choisissez WEB (sites) ou Application mobile. Vous ne pourrez plus modifier ce choix ensuite.
Liste de domaines : ajoutez les domaines sur lesquels cette clé sera utilisée.

Ensuite, ouvrez Paramètres supplémentaires, activez Allez-vous utiliser des défis ? puis activez Checkbox Challenge.

HowTo Connect image 3

7. Cliquez sur Créer. Vous recevrez une clé que vous devrez ajouter à votre site pour activer la protection.

HowTo Connect image 3

8. Ajoutez le script à votre page.

Exemple de fragment HTML à intégrer sur votre site

<html>
  <head>
    <title>reCAPTCHA demo: Simple page</title>
    <script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
  </head>
  <body>
    <form action="" method="POST">
      <div class="g-recaptcha" data-sitekey="YOUR_SITEKEY" data-action="LOGIN"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

9. Validez la réponse côté serveur.

Exemple en PHP

Le jeton (g-recaptcha-response) est envoyé au backend.
Il est valable pendant 2 minutes, vérifiez-le donc dès que vous le recevez ! Pour une communication sécurisée avec l’API, nous recommandons les bibliothèques officielles Google Cloud :

<?php
require 'vendor/autoload.php';

// Installez les bibliothèques Google Cloud via Composer
use Google/Cloud/RecaptchaEnterprise/V1/RecaptchaEnterpriseServiceClient;
use Google/Cloud/RecaptchaEnterprise/V1/Event;
use Google/Cloud/RecaptchaEnterprise/V1/Assessment;
use Google/Cloud/RecaptchaEnterprise/V1/CreateAssessmentRequest;
use Google/Cloud/RecaptchaEnterprise/V1/TokenProperties/InvalidReason;

/**
 * Validez le jeton reCAPTCHA Enterprise et récupérez le score de risque.
 *
 * @param string $recaptchaKey Votre clé reCAPTCHA pour le site/l’application
 * @param string $token Jeton reçu depuis le client
 * @param string $projectId ID du projet Google Cloud
 * @param string $action Nom de l’action associé au jeton
 */
function create_assessment(string $recaptchaKey, string $token, string $projectId, string $action): void {
    $client = new RecaptchaEnterpriseServiceClient();
    $projectName = $client->projectName($projectId);

    // Créez l’événement d’évaluation (assessment)
    $event = (new Event())->setSiteKey($recaptchaKey)->setToken($token);
    $assessment = (new Assessment())->setEvent($event);
    $request = (new CreateAssessmentRequest())->setParent($projectName)->setAssessment($assessment);

    try {
        $response = $client->createAssessment($request);

        if (!$response->getTokenProperties()->getValid()) {
            echo 'Le jeton est invalide : ' . InvalidReason::name($response->getTokenProperties()->getInvalidReason());
            return;
        }

        if ($response->getTokenProperties()->getAction() === $action) {
            echo 'Score de risque : ' . $response->getRiskAnalysis()->getScore();
        } else {
            echo 'L’action dans la balise reCAPTCHA ne correspond pas à la valeur attendue';
        }
    } catch (Exception $e) {
        echo 'Erreur lors de la vérification de reCAPTCHA : ' . $e->getMessage();
    }
}

// Appelez la fonction avec les variables
create_assessment(
    'YOUR_SITE_KEY',
    'YOUR_USER_RESPONSE_TOKEN',
    'YOUR_PROJECT_ID',
    'YOUR_RECAPTCHA_ACTION'
);
?>

Erreurs possibles et débogage

Site ou clé invalide

La captcha ne se charge pas ou renvoie invalid-input-secret.

Délai dépassé

Le serveur n’a pas reçu la réponse à temps. Augmentez le délai.

Jeton vide

Une erreur est survenue lors du renvoi du résultat vers la page.

Response success=false

Le jeton a expiré, a été réutilisé ou falsifié. Activez les logs et analysez le champ error-codes dans la réponse de Google.

Tests de robustesse de la protection

Après l’intégration, vérifiez que le système protège réellement le site contre les actions automatisées.

Essayez d’envoyer une requête sans résoudre le captcha — le serveur doit renvoyer success: false.

Effectuez un test de charge (par exemple avec k6 ou JMeter) à une vitesse de plus de 100 requêtes par seconde — le captcha doit s’afficher correctement et le système de validation doit rester stable.

Vérifiez la réponse du serveur avec un jeton expiré ou renvoyé — la réponse attendue doit être 403 Forbidden.

Conseils de sécurité et d’optimisation

Conservez la Secret Key uniquement sur le serveur et ne la transmettez pas à la partie cliente.

Consignez les codes d’erreur (error-codes) afin de comprendre pourquoi certaines vérifications ont échoué.

Ajoutez en bas du formulaire des liens vers la Politique de confidentialité et les Conditions d’utilisation de Google, comme l’exige la licence.

Conclusion

Si vous avez récupéré un site avec un captcha ou un autre système de protection déjà installé, mais sans accès au code, pas de panique ! Il est assez simple d’identifier quelle technologie est utilisée. Pour vérifier que tout fonctionne correctement, vous pouvez utiliser le service de reconnaissance CapMonster Cloud dans un environnement de test isolé, afin de vous assurer que le mécanisme de traitement des jetons et la logique de vérification fonctionnent correctement.

Dans le cas de reCAPTCHA v2 Enterprise, il suffit d’identifier le système, d’étudier son comportement et de vérifier que la protection fonctionne correctement. Dans cet article, nous avons montré comment reconnaître reCAPTCHA v2 Enterprise et où trouver les instructions pour son intégration ou sa reconfiguration, afin de maintenir la protection en toute confiance et de garder son fonctionnement sous contrôle.

Liens utiles

Créer un projet et en savoir plus sur reCAPTCHA v2 Enterprise →Documentation CapMonster Cloud (reCAPTCHA v2 Enterprise) →Résoudre reCAPTCHA Enterprise avec CapMonster Cloud : guide pas à pas →

L’extension de navigateur CapMonster Cloud est disponible pour Chrome et Firefox. Le guide complet d’installation et d’utilisation est disponible ici.

reCAPTCHA v2 Enterprise et CapMonster Cloud

Comment résoudre reCAPTCHA v2 Enterprise avec CapMonster Cloud

reCAPTCHA v2 Enterprise
et CapMonster Cloud