Extension pour navigateurs

Pour les entreprises

Prix

Blog

Docs

Français

reCAPTCHA v3
et CapMonster Cloud

Résolution de captcha, intégration sur le site et tests.

Vous avez hérité d’un site doté d’une captcha ou d’une autre couche de protection mais sans accès au code source ? Il est alors naturel de se demander quelle solution est installée, si elle est correctement configurée et comment la tester.

Dans cet article, nous avons essayé de répondre à toutes les questions essentielles. Pour commencer à résoudre le problème, il faut d’abord déterminer quel système de protection est utilisé. Pour cela, vous pouvez consulter la liste des captchas et systèmes de protection antibot les plus populaires, qui présente des exemples visuels et des caractéristiques clés permettant d’identifier rapidement avec quoi vous avez affaire.

Si vous constatez que votre site utilise reCAPTCHA v3, l’étape suivante consiste à étudier plus en détail ses propriétés et son fonctionnement. Dans cet article, vous pouvez également consulter le guide d’intégration de reCAPTCHA v3 afin de comprendre pleinement la façon dont il fonctionne sur votre site. Cela vous permettra non seulement de mieux connaître la protection en place, mais aussi de planifier correctement sa maintenance.

Qu’est-ce que Google reCAPTCHA v3

reCAPTCHA v3 est une protection invisible de Google qui distingue les vrais utilisateurs des bots sans nécessiter la case « Je ne suis pas un robot ». Un script caché s’exécute sur la page, analyse le comportement du visiteur du site et renvoie un score de confiance (score) compris entre 0,0 et 1,0. Le développeur définit un seuil en dessous duquel une vérification supplémentaire ou un blocage peut être exigé, ce qui permet d’assurer la protection sans actions inutiles du côté de l’utilisateur.

Comment résoudre reCAPTCHA v3 via CapMonster Cloud

Lors des tests de formulaires contenant reCAPTCHA v3, il est souvent nécessaire de vérifier que la captcha fonctionne et qu’elle est correctement intégrée.

Vous pouvez contrôler manuellement la captcha intégrée à votre site.

Ouvrez la page du formulaire et vérifiez que la captcha s’affiche.
Essayez d’envoyer le formulaire sans la résoudre — le serveur doit renvoyer une erreur.
Après une résolution réussie, l’envoi doit se faire sans problème.

Pour une résolution automatique, utilisez des outils comme CapMonster Cloud qui reçoivent les paramètres de la captcha, les traitent sur leurs serveurs et renvoient un jeton prêt à l’emploi. Insérez ce jeton dans le formulaire pour passer la vérification sans interaction utilisateur.

Travailler avec CapMonster Cloud via l’API comprend généralement les étapes suivantes :

Création de la tâche

À cette étape, vous transmettez votre clé API, le type de captcha et ses paramètres. Le service renvoie un taskId unique, qui permettra d’obtenir ultérieurement le résultat.

Envoyer une requête API

Dans la requête pour résoudre reCAPTCHA v3, vous devez indiquer les paramètres suivants :

type - RecaptchaV3TaskProxyless;

websiteURL - l’adresse de la page sur laquelle le captcha est résolu;

websiteKey - l’identifiant de clé (sitekey) indiqué sur la page de votre site avec le captcha;

minScore - peut avoir une valeur de 0.1 à 0.9;

pageAction - la valeur du paramètre action transmise par le widget ReCaptcha de Google. Valeur par défaut : verify.

Pour en savoir plus sur les paramètres et la façon de les collecter automatiquement avant d’envoyer une tâche, consultez la documentation CapMonster Cloud.

Endpoint pour l’envoi de la tâche :

https://api.capmonster.cloud/createTask

Exemple de requête :

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV3TaskProxyless",
    "websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v3.php?level=beta",
    "websiteKey": "6Le0xVgUAAAAAIt20XEB4rVhYOODgTl00d8juDob",
    "minScore": 0.7,
    "pageAction": "myverify"
  }
}

Réponse :

{
  "errorId":0,
  "taskId":407533072
}

Réception du résultat

Après avoir créé la tâche, interrogez régulièrement l’état de la solution.

Adresse pour recevoir le résultat :

https://api.capmonster.cloud/getTaskResult

Exemple de requête :

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Réponse :

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "3AHJ_VuvYIBNBW5yyv0zRYJ75VkOKv…hKj9_xGBJKnQimF72rfoq3Iy-DyGHMwLAo6a3"
  }
}

Insertion du jeton sur la page

Le jeton obtenu (valeur « gRecaptchaResponse ») peut être inséré dans un champ caché du formulaire ou utilisé pour appeler une fonction JS sur le site afin de confirmer la résolution. Après cela, le serveur acceptera le formulaire comme correctement rempli. Pour l’automatisation et les tests, il est pratique d’utiliser Puppeteer, Selenium ou Playwright, qui permettent de simuler les actions de l’utilisateur, d’insérer des jetons et d’envoyer des formulaires.

Reconnaissance de reCAPTCHA v3 avec des bibliothèques prêtes à l’emploi

Le service CapMonster Cloud fournit des bibliothèques prêtes à l’emploi pour travailler facilement avec les langages Python, JavaScript (Node.js) et C#.

Python

JavaScript

Résolution, insertion du jeton et envoi du formulaire

Exemple en Node.js pour le cycle complet de reconnaissance du captcha sur votre page web. Approches possibles : utiliser des requêtes HTTP pour récupérer le HTML et les paramètres du captcha, envoyer la réponse et traiter le résultat ; ou, avec des outils d’automatisation (par exemple Playwright), ouvrir la page, attendre le chargement du captcha, envoyer les paramètres (pour les tests vous pouvez envoyer des données correctes ou incorrectes), récupérer le résultat via le client CapMonster Cloud, insérer le jeton dans le formulaire et observer le résultat.

const { chromium } = require('playwright');
const { 
  CapMonsterCloudClientFactory, 
  ClientOptions, 
  RecaptchaV3ProxylessRequest 
} = require('@zennolab_com/capmonstercloud-client');

(async () => {
  const TARGET_URL = 'https://lessons.zennolab.com/captchas/recaptcha/v3.php?level=beta'; // URL de votre page avec le captcha
  const SITE_KEY = '6Le0xVgUAAAAAIt20XEB4rVhYOODgTl00d8juDob';
  const API_KEY = 'your_capmonster_cloud_api_key'; // Indiquez votre clé API CapMonster Cloud

  // Création du client CapMonster
  const cmcClient = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: API_KEY }));

  // Ouverture du navigateur
  const browser = await chromium.launch({ headless: false });
  const page = await browser.newPage();
  await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded' });

  // Configuration de la tâche reCAPTCHA v3
  const recaptchaRequest = new RecaptchaV3ProxylessRequest({
    websiteURL: TARGET_URL,
    websiteKey: SITE_KEY,
    minScore: 0.6,
    pageAction: 'myverify', // correspondance avec l’action sur la page
  });

  // Résolution du captcha
  const solution = await cmcClient.Solve(recaptchaRequest);
  const token = solution.solution?.gRecaptchaResponse;

  if (!token) {
    console.error('Токен пустой, проверьте sitekey и URL');
    await browser.close();
    return;
  }

  console.log('Jeton obtenu :', token);

  // Insertion du jeton dans un champ caché et simulation du clic sur le bouton 
  // Remplacez par les sélecteurs nécessaires
  await page.evaluate((t) => {
    const input = document.querySelector('#v3_token');
    if (input) input.value = t;

    const form = document.querySelector('#v3_form');
    if (form) form.submit();
  }, token);

  console.log('Le jeton a été inséré et le formulaire a été envoyé');

  await page.waitForTimeout(5000);
  await browser.close();
})();

Il existe également un excellent moyen de tester la reconnaissance des captchas grâce à l’extension de navigateur CapMonster Cloud, qui permet de vérifier rapidement le fonctionnement du captcha directement sur la page et de suivre le processus de résolution en temps réel sans écrire de code – disponible pour Chrome et Firefox.

Comment connecter reCAPTCHA v3 à votre site

Pour bien comprendre le fonctionnement du captcha sur votre site, la logique de sa vérification, et pouvoir le reconnecter ou le reconfigurer, nous vous recommandons d’étudier cette section. Le processus d’activation de la protection y est décrit — cela vous aidera à vous familiariser rapidement avec tous les détails.

1. Accédez à la page du panneau d’administration reCAPTCHA.

2. Enregistrez un nouveau site et choisissez le type de captcha — reCAPTCHA v3

HowTo Connect image 1

3. Récupérez deux clés :

Site key — clé publique (utilisée côté frontend) ;
Secret key — clé privée (utilisée côté serveur pour la vérification)

HowTo Connect image 2

Vous pouvez ouvrir les paramètres où, par exemple, vous pouvez indiquer des domaines supplémentaires autorisés à utiliser reCAPTCHA ou configurer des notifications concernant des problèmes sur le site ou une augmentation du trafic suspect.

4. Exemples de code pour la partie cliente

La façon la plus simple d’utiliser reCAPTCHA v3 consiste à connecter l’API JavaScript et à ajouter des attributs au bouton.

Connexion de l’API :

<script src="https://www.google.com/recaptcha/api.js"></script>

Fonction de rappel (callback) pour le formulaire :

<script>
  function onSubmit(token) {
    document.getElementById("form").submit();
  }
</script>

Bouton avec les attributs reCAPTCHA :

<button class="g-recaptcha" 
        data-sitekey="reCAPTCHA_sitekey" 
        data-callback='onSubmit' 
        data-action='submit'>Submit</button>

Pour un contrôle complet, utilisez grecaptcha.execute avec le paramètre render:

Connexion de l’API avec la clé :

<script src="https://www.google.com/recaptcha/api.js?render=reCAPTCHA_site_key"></script>

Appel programmatique :

<script>
  function onClick(e) {
    e.preventDefault();
    grecaptcha.ready(function() {
      grecaptcha.execute('reCAPTCHA_sitekey', {action: 'submit'}).then(function(token) {
          // Envoyez le jeton au serveur pour vérification
      });
    });
  }
</script>

Le jeton doit être envoyé immédiatement au serveur pour vérification.

Remarques importantes :

Durée de validité du jeton : le jeton reçu de reCAPTCHA v3 est valable pendant 2 minutes. Assurez-vous de l’envoyer au serveur dans ce délai.
Vérification côté serveur : après avoir reçu le jeton, le serveur doit envoyer une requête POST à https://www.google.com/recaptcha/api/siteverify avec les paramètres suivants :
– secret : votre clé secrète
– response : le jeton reçu du client
– remoteip (facultatif) : l’adresse IP de l’utilisateur
Le serveur de Google renverra une réponse JSON contenant des informations sur le résultat de la vérification.

Vous trouverez plus de détails dans la documentation officielle du captcha.

5. Effectuez maintenant la vérification de la réponse côté serveur

Exemple en PHP

<?php
// Votre clé secrète reCAPTCHA v3
$secret = 'YOUR_SECRET_KEY';

// Récupérer le jeton depuis le formulaire
$token = $_POST['recaptcha-token'] ?? '';

// Envoyer une requête à Google pour vérifier le jeton
$response = file_get_contents(
    "https://www.google.com/recaptcha/api/siteverify?secret={$secret}&response={$token}"
);

$result = json_decode($response, true);

// Vérifier la réussite et le score de confiance
if ($result['success'] && $result['score'] >= 0.5 && $result['action'] === 'submit') {
    echo "Vérification réussie";
} else {
    http_response_code(403);
    echo "Vérification échouée";
}
?>

Remarques :

Assurez-vous que, côté client, le jeton est envoyé dans un champ caché du formulaire nommé recaptcha-token :

<input type="hidden" name="recaptcha-token" id="recaptcha-token">

Le seuil score peut être ajusté en fonction du niveau de sévérité souhaité (par exemple 0,3–0,7).
La vérification action === 'submit' augmente la sécurité et permet de s’assurer que le jeton est destiné à l’action spécifique sur la page.

Erreurs possibles et débogage

Site ou clé incorrects

Le captcha ne se charge pas ou renvoie invalid-input-secret.

Dépassement du délai de résolution

Le serveur n’a pas reçu de réponse à temps, augmentez le délai d’attente.

Jeton vide

Erreur lors de la transmission du résultat à la page.

Réponse success=false

Le jeton est expiré, réutilisé ou falsifié. Pour le diagnostic, activez la journalisation des requêtes et vérifiez le champ error-codes dans la réponse de Google.

Score faible (par exemple <0.5)

Peut entraîner un refus même avec success=true, car Google évalue le niveau de confiance envers l’utilisateur en fonction du score.

Vérifiez le champ action

Afin de vous assurer que le jeton est destiné à une action précise sur la page

Tests de robustesse de la protection

Après l’intégration, vérifiez que le système protège réellement le site contre les actions automatisées.

Essayez d’effectuer une requête sans résoudre le captcha — le serveur doit renvoyer success: false.

Effectuez un test de charge (par exemple avec k6 ou JMeter) à un débit supérieur à 100 requêtes par seconde — le captcha doit s’afficher correctement et le système de validation rester stable.

Vérifiez la réaction du serveur lorsqu’un jeton expiré, réutilisé ou falsifié est envoyé — la réponse attendue est : 403 Forbidden ou refus en fonction du seuil de confiance (score inférieur à la valeur minimale).

Conseils de sécurité et d’optimisation

Conservez la <b>Secret Key</b> uniquement côté serveur, ne la transmettez pas à la partie cliente.

Conservez la Secret Key uniquement côté serveur, ne la transmettez pas à la partie cliente.

Journalisez les codes d’erreur (<b>error-codes</b>) et la valeur de <b>score</b> afin de comprendre les raisons des refus.

Journalisez les codes d’erreur (error-codes) et la valeur de score afin de comprendre les raisons des refus.

<b>Vérifiez le champ action</b> dans la réponse de Google pour vous assurer que le jeton est destiné à l’action appropriée sur la page.

Vérifiez le champ action dans la réponse de Google pour vous assurer que le jeton est destiné à l’action appropriée sur la page.

Ajoutez au bas du formulaire des liens vers la <b>Politique de confidentialité</b> et les <b>Conditions d’utilisation de Google</b>, comme l’exige la licence.

Ajoutez au bas du formulaire des liens vers la Politique de confidentialité et les Conditions d’utilisation de Google, comme l’exige la licence.

Conclusion

Si vous avez récupéré un site avec un captcha ou un autre système de protection déjà installé, mais sans accès au code, pas de panique ! Il est assez simple d’identifier quelle technologie est utilisée. Pour vérifier que tout fonctionne correctement, vous pouvez utiliser le service de reconnaissance CapMonster Cloud dans un environnement de test isolé, afin de vous assurer que le mécanisme de traitement des jetons et la logique de vérification fonctionnent correctement.

Dans le cas de reCAPTCHA v3, il suffit d’identifier le système, d’étudier son comportement et de vérifier que la protection fonctionne correctement. Dans cet article, nous avons montré comment reconnaître reCAPTCHA v3 et où trouver les instructions pour son intégration ou sa reconfiguration, afin de maintenir la protection en toute confiance et de garder son fonctionnement sous contrôle.

Liens utiles

Documentation reCAPTCHA v3 →

Documentation CapMonster Cloud (travail avec reCAPTCHA v3) →

Comment résoudre ReCaptcha v3 en Python avec Selenium & CapMonster Cloud →

Comment résoudre ReCaptcha v3 en JavaScript avec Selenium & CapMonster Cloud →

Comment résoudre ReCaptcha v3 en C# avec Selenium & CapMonster Cloud →

L’extension de navigateur CapMonster Cloud est disponible pour Chrome et Firefox. Le guide complet d’installation et d’utilisation est disponible ici.

reCAPTCHA v3 et CapMonster Cloud

reCAPTCHA v3
et CapMonster Cloud