reCAPTCHA v2
et CapMonster Cloud

Résolution de captchas, intégration sur le site et tests de bout en bout.

Vous avez hérité d’un site doté d’une captcha ou d’une autre couche de protection mais sans accès au code source ? Il est alors naturel de se demander quelle solution est installée, si elle est correctement configurée et comment la tester.

Dans cet article, nous avons essayé de répondre à toutes les questions essentielles. Pour commencer à résoudre le problème, il faut d’abord déterminer quel système de protection est utilisé. Pour cela, vous pouvez consulter la liste des captchas et systèmes de protection antibot les plus populaires, qui présente des exemples visuels et des caractéristiques clés permettant d’identifier rapidement avec quoi vous avez affaire.

Si vous constatez que votre site utilise reCAPTCHA V2, l’étape suivante consiste à étudier plus en détail ses propriétés et son fonctionnement. Dans cet article, vous pouvez également consulter le guide d’intégration de reCAPTCHA V2 afin de comprendre pleinement la façon dont il fonctionne sur votre site. Cela vous permettra non seulement de mieux connaître la protection en place, mais aussi de planifier correctement sa maintenance.

Qu’est-ce que Google reCAPTCHA v2

reCAPTCHA v2 est un système de protection de Google conçu pour bloquer le spam et d’autres actions automatisées susceptibles de nuire à un site web. Il aide à distinguer les visiteurs humains des bots et garantit la stabilité et la sécurité de votre ressource.

Exemples de reCAPTCHA V2

reCAPTCHA v2

Captcha classique avec case à cocher où l’utilisateur doit confirmer qu’il est humain. Dans certains cas, une fenêtre avec un défi supplémentaire apparaît, par exemple sélectionner certaines images.

reCAPTCHA v2 Invisible

Version invisible de la captcha qui effectue la vérification automatiquement, sans interaction de l’utilisateur et sans clic sur la case.

reCAPTCHA v2 Enterprise

Version entreprise avec des fonctions de contrôle et de sécurité supplémentaires.

Comment résoudre reCAPTCHA v2 via CapMonster Cloud

Lors des tests de formulaires contenant reCAPTCHA V2, il est souvent nécessaire de vérifier que la captcha fonctionne et qu’elle est correctement intégrée.

Vous pouvez contrôler manuellement la captcha intégrée à votre site.

Ouvrez la page du formulaire et vérifiez que la captcha s’affiche.
Essayez d’envoyer le formulaire sans la résoudre — le serveur doit renvoyer une erreur.
Après une résolution réussie, l’envoi doit se faire sans problème.

Pour une résolution automatique, utilisez des outils comme CapMonster Cloud qui reçoivent les paramètres de la captcha, les traitent sur leurs serveurs et renvoient un jeton prêt à l’emploi. Insérez ce jeton dans le formulaire pour passer la vérification sans interaction utilisateur.

Travailler avec CapMonster Cloud via l’API comprend généralement les étapes suivantes :

Création de la tâche

À cette étape, vous envoyez votre clé API, le type de captcha et ses paramètres. Le service renvoie un taskId unique que vous utiliserez ensuite pour récupérer le résultat.

Envoyer une requête API

Votre requête pour résoudre reCAPTCHA v2 doit inclure les paramètres suivants :

type - RecaptchaV2Task;

websiteURL - l’adresse de la page où apparaît la captcha;

websiteKey - le sitekey indiqué sur votre page avec la captcha.

Pour en savoir plus sur les paramètres et la façon de les collecter automatiquement avant d’envoyer une tâche, consultez la documentation CapMonster Cloud.

Endpoint pour l’envoi de la tâche :

https://api.capmonster.cloud/createTask

Exemple de requête :

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2Task",
    "websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd"
  }
}

Réponse :

{
  "errorId":0,
  "taskId":407533072
}

Réception du résultat

Après avoir créé la tâche, interrogez régulièrement l’état de la solution.

Adresse pour recevoir le résultat :

https://api.capmonster.cloud/getTaskResult

Exemple de requête :

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Réponse :

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis…"
  }
}

Insertion du jeton sur la page

Le jeton renvoyé (valeur "gRecaptchaResponse") peut être inséré dans un champ masqué ou passé à une fonction JS sur votre site pour confirmer la solution. Le serveur acceptera alors le formulaire comme valide. Pour automatiser le flux, utilisez Puppeteer, Selenium ou Playwright afin d’émuler les actions de l’utilisateur, injecter les jetons et soumettre les formulaires.

Au lieu de récupérer un jeton, vous pouvez utiliser la méthode de résolution par clics. Consultez la documentation CapMonster Cloud pour plus de détails.

Résoudre reCAPTCHA v2 avec des bibliothèques prêtes à l’emploi

CapMonster Cloud fournit des SDK pour travailler aisément avec Python, JavaScript (Node.js) et C#.

Python

JavaScript

Résoudre, insérer le jeton et envoyer le formulaire

Exemple Node.js couvrant tout le cycle de résolution de captcha sur votre page. Approches possibles : utiliser des requêtes HTTP pour récupérer le HTML et les paramètres, envoyer la réponse et traiter le résultat ; ou s’appuyer sur des outils d’automatisation (par ex. Playwright) pour ouvrir la page, attendre la captcha, envoyer des paramètres (tests avec données valides ou non), obtenir le résultat via le client CapMonster Cloud, insérer le jeton dans le formulaire et observer le résultat.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium


const { chromium } = require('playwright');
const { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2Request } = require('@zennolab_com/capmonstercloud-client');

(async () => {
  const browser = await chromium.launch({ headless: false });
  const page = await browser.newPage();

  const TARGET_URL = 'https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high';
  const WEBSITE_KEY = '6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd';
  const CMC_API_KEY = 'your_capmonster_cloud_api_key';

  const cmc = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: CMC_API_KEY }));

  await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded' });

  // Résolution de la captcha
  const solution = await cmc.Solve(new RecaptchaV2Request({ websiteURL: TARGET_URL, websiteKey: WEBSITE_KEY }));
  const token = solution.solution.gRecaptchaResponse;

  // Insérez le jeton et envoyez le formulaire (remplacez par le sélecteur souhaité)
  await page.evaluate((t) => {
    const ta = document.querySelector('textarea#g-recaptcha-response');
    if (ta) ta.value = t;
    document.querySelector('form.formular')?.submit();
  }, token);

  console.log('Captcha résolue et formulaire envoyé !');
})();

Vous pouvez également tester la reconnaissance de captchas avec l’extension navigateur CapMonster Cloud, qui permet de vérifier le comportement directement sur la page et de suivre la résolution en temps réel sans écrire de code. Disponible pour Chrome et Firefox.

Comment connecter reCAPTCHA v2 à votre site

Pour comprendre comment la captcha fonctionne sur votre site, connaître sa logique de validation et la reconnecter ou la reconfigurer, consultez cette section. Elle décrit l’ensemble du processus de mise en place de la protection pour couvrir rapidement chaque détail.

1. Accédez à la page de la console d’administration reCAPTCHA.

2. Enregistrez un nouveau site.

Choisissez le type de captcha — reCAPTCHA v2 (case à cocher avec défis ou variante invisible).

HowTo Connect image 1

3. Obtenez deux clés :

Site key — clé publique (utilisée côté frontend) ;
Secret key — clé privée (utilisée côté serveur pour la vérification).

HowTo Connect image 2

Ouvrez les paramètres pour préciser les domaines autorisés à utiliser reCAPTCHA ou pour choisir le niveau de sécurité, du plus simple au plus strict.

4. Exemple de code côté client. Formulaire HTML avec reCAPTCHA v2 (vous pouvez coller cet extrait dans le corps de la page) :

Formulaire HTML avec reCAPTCHA v2

Pour le widget avec case :

<html>
  <head>
    <title>reCAPTCHA demo</title>
    <script src="https://www.google.com/recaptcha/api.js" async defer></script>
  </head>
  <body>
    <form action="submit" method="POST">
      <div class="g-recaptcha" data-sitekey="your_site_key"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

Ce code charge la bibliothèque Google reCAPTCHA et crée un formulaire qui envoie les données en POST. <div class="g-recaptcha" data-sitekey="your_site_key"></div> affiche le widget reCAPTCHA v2 avec votre clé publique. En cliquant sur "Submit", le formulaire est envoyé avec le jeton g-recaptcha-response pour vérification côté serveur.

Pour reCAPTCHA v2 invisible :

<html>
  <head>
    <title>reCAPTCHA demo</title>
     <script src="https://www.google.com/recaptcha/api.js" async defer></script>
     <script>
       function onSubmit(token) {
         document.getElementById("demo-form").submit();
       }
     </script>
  </head>
  <body>
    <form id="demo-form" action="?" method="POST">
      <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button>
      <br/>
    </form>
  </body>
</html>

Le bouton <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button> exécute automatiquement la captcha invisible, génère un jeton et appelle onSubmit.

La fonction onSubmit(token) reçoit le jeton g-recaptcha-response et envoie le formulaire à votre serveur pour vérification.

Contrairement au widget avec case, l’utilisateur ne voit pas la captcha : la vérification se déroule en arrière-plan.

Ajoutez des champs cachés <input type="hidden"> si vous devez stocker le jeton ou d’autres données pour un envoi ultérieur via JS. Consultez la documentation de la captcha pour plus d’informations.

5. Validez la réponse côté serveur.

Exemple en PHP

Vérifier la méthode et lire les données

?php
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    http_response_code(405);
    exit('Méthode non autorisée');
}

// Récupération du jeton reCAPTCHA
$token = $_POST['g-recaptcha-response'] ?? '';
$secret = 'YOUR_SECRET_KEY';

if (!$token) {
    exit('Captcha non validée');
}

Vérifier la captcha via Google

$response = file_get_contents(
    "https://www.google.com/recaptcha/api/siteverify?secret=$secret&response=$token"
);
$result = json_decode($response, true);

if (!empty($result['success'])) {
    echo "<h3>Formulaire envoyé avec succès !</h3>";
} else {
    echo "Erreur de vérification de la captcha.";
}
?>

Erreurs possibles et débogage

Site ou clé invalide

La captcha ne se charge pas ou renvoie invalid-input-secret.

Délai de résolution dépassé

Le serveur n’a pas reçu la réponse à temps. Augmentez le délai d’attente.

Jeton vide

Une erreur s’est produite lors du transfert du résultat vers la page.

Réponse success=false

Le jeton est expiré, réutilisé ou falsifié. Activez la journalisation des requêtes et vérifiez le champ error-codes renvoyé par Google.

Tests de robustesse de la protection

Après l’intégration, vérifiez que le système protège réellement le site contre les actions automatisées.

Essayez d’envoyer une requête sans résoudre le captcha — le serveur doit renvoyer success: false.

Effectuez un test de charge (par exemple avec k6 ou JMeter) à une vitesse de plus de 100 requêtes par seconde — le captcha doit s’afficher correctement et le système de validation doit rester stable.

Vérifiez la réponse du serveur avec un jeton expiré ou renvoyé — la réponse attendue doit être 403 Forbidden.

Conseils de sécurité et d’optimisation

Conservez la Secret Key uniquement sur le serveur et ne la transmettez pas à la partie cliente.

Consignez les codes d’erreur (error-codes) afin de comprendre pourquoi certaines vérifications ont échoué.

Ajoutez en bas du formulaire des liens vers la Politique de confidentialité et les Conditions d’utilisation de Google, comme l’exige la licence.

Conclusion

Si vous avez récupéré un site avec un captcha ou un autre système de protection déjà installé, mais sans accès au code, pas de panique ! Il est assez simple d’identifier quelle technologie est utilisée. Pour vérifier que tout fonctionne correctement, vous pouvez utiliser le service de reconnaissance CapMonster Cloud dans un environnement de test isolé, afin de vous assurer que le mécanisme de traitement des jetons et la logique de vérification fonctionnent correctement.

Dans le cas de reCAPTCHA V2, il suffit d’identifier le système, d’étudier son comportement et de vérifier que la protection fonctionne correctement. Dans cet article, nous avons montré comment reconnaître reCAPTCHA V2 et où trouver les instructions pour son intégration ou sa reconfiguration, afin de maintenir la protection en toute confiance et de garder son fonctionnement sous contrôle.

Liens utiles

Documentation reCAPTCHA v2 →Documentation CapMonster Cloud (reCAPTCHA v2) →Résoudre reCAPTCHA v2 avec CapMonster Cloud →Comment résoudre reCAPTCHA v2 en JavaScript avec Selenium & CapMonster Cloud →Comment résoudre reCAPTCHA v2 en Python avec Selenium & CapMonster Cloud →Comment résoudre reCAPTCHA v2 en C# avec Selenium & CapMonster Cloud →

L’extension de navigateur CapMonster Cloud est disponible pour Chrome et Firefox. Le guide complet d’installation et d’utilisation est disponible ici.

reCAPTCHA v2 et CapMonster Cloud

Comment résoudre reCAPTCHA v2 via CapMonster Cloud

reCAPTCHA v2
et CapMonster Cloud