Interpréter les évaluations pour des sites Web

Cette page explique comment interpréter un score pour comprendre le niveau de risque des interactions des utilisateurs et prendre les mesures appropriées pour votre site.

reCAPTCHA Enterprise renvoie un score pour chaque requête en fonction des interactions avec votre site, quel que soit le type de clé. Après avoir reçu le score de reCAPTCHA Enterprise, vous devez l'interpréter et prendre les mesures appropriées pour votre site.

Avant de commencer

Créez une évaluation pour votre site Web.

Interpréter l'évaluation

Une fois que votre backend a envoyé le jeton de réponse reCAPTCHA d'un utilisateur à reCAPTCHA Enterprise, vous recevez une évaluation en tant que réponse JSON, comme indiqué dans l'exemple suivant.

Pour interpréter une évaluation, vous devez prendre en compte les paramètres suivants :

  • valid: indique si le jeton de réponse utilisateur fourni est valide. Lorsque la valeur est valid = false, le motif est spécifié dans invalidReason. valid = false peut également indiquer qu'un utilisateur n'a pas réussi à résoudre un test ou qu'il existe une non-concordance de siteKey.
  • invalidReason: motif associé à la réponse lorsque valid = false.
  • action : interaction de l'utilisateur qui a déclenché la validation de reCAPTCHA Enterprise.
  • expectedAction : action attendue d'un utilisateur que vous avez spécifiée lors de la création de l'évaluation.
  • score : niveau de risque lié à l'interaction de l'utilisateur.
  • reasons : informations supplémentaires sur la manière dont reCAPTCHA Enterprise a interprété l'interaction utilisateur.

    {
     "event":{
        "expectedAction":"EXPECTED_ACTION",
        "hashedAccountId":"ACCOUNT_ID",
        "siteKey":"KEY_ID",
        "token":"TOKEN",
        "userAgent":"(USER-PROVIDED STRING)",
        "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
     },
     "name":"ASSESSMENT_ID",
     "riskAnalysis":{
       "reasons":[],
       "score":"SCORE"
     },
     "tokenProperties":{
       "action":"USER_INTERACTION",
       "createTime":"TIMESTAMP",
       "hostname":"HOSTNAME",
       "invalidReason":"(ENUM)",
       "valid":(BOOLEAN)
     }
    }

Valider les actions

La réponse JSON contient le paramètre action que vous avez spécifié pour une interaction de l'utilisateur lors de l'appel de execute(), et le paramètre expectedAction que vous avez spécifié lors de la création de l'évaluation.

Vérifiez que action correspond à expectedAction. Par exemple, une action login doit être renvoyée sur votre page de connexion. En cas de non-concordance, cela signifie qu'un pirate informatique tente de falsifier des actions. Vous pouvez prendre des mesures contre l'interaction de l'utilisateur, comme ajouter des validations supplémentaires ou bloquer l'interaction pour éviter toute activité frauduleuse.

Interpréter les scores

Le système d'attribution de scores de reCAPTCHA Enterprise est une extension des versions précédentes de reCAPTCHA pour permettre une plus grande précision des réponses. reCAPTCHA Enterprise possède 11 niveaux de score avec des valeurs comprises entre 0,0 et 1,0. Le score 1,0 indique que l'interaction présente un risque faible et est très certainement légitime, tandis que 0,0 indique que l'interaction présente un risque élevé et peut être frauduleuse. Sur les 11 niveaux de score, seuls les quatre suivants sont disponibles par défaut : 0,1, 0,3, 0,7 et 0,9.

Les 11 niveaux de score sont accessibles après un examen de sécurité. Pour demander l'accès aux 11 niveaux de score, contactez notre équipe commerciale.

reCAPTCHA Enterprise s'améliore en observant le trafic réel sur votre site. Par conséquent, les scores obtenus dans un environnement de préproduction et dans les sept jours suivant l'implémentation peuvent différer des scores de production à long terme.

Si vous avez installé des clés basées sur des scores, vous pouvez d'abord exécuter reCAPTCHA Enterprise sans prendre de mesures, puis définir des seuils en examinant le trafic.

En fonction de ce score, vous pouvez prendre les mesures appropriées dans le contexte de votre site. Pour mieux protéger votre site, nous vous recommandons d'effectuer l'action en arrière-plan plutôt que de bloquer le trafic.

Le tableau suivant répertorie certaines des actions que vous pouvez effectuer :

Cas d'utilisation Action
Page d'accueil Affichez une vue cohérente de votre trafic sur la console d'administration lors du filtrage des scrapers.
login Dans le cas d'un score faible, la validation MFA ou la validation de l'adresse e-mail est requise pour empêcher les attaques de type credential stuffing.
social Limitez les demandes d'amis sans réponse des utilisateurs mal intentionnés et envoyez les commentaires risqués à la modération.
E-commerce Faites passer vos ventes réelles avant les bots et identifiez les transactions risquées.

Codes de motif

Les codes de motif sont disponibles après un examen de sécurité. Pour demander l'accès aux codes de motif, contactez notre équipe commerciale.

Certains scores peuvent être renvoyés avec des codes de motifs qui fournissent des informations supplémentaires sur la manière dont reCAPTCHA Enterprise a interprété les interactions.

Le tableau suivant répertorie les codes de motifs et leurs descriptions :

Code du motif Description
AUTOMATION L'interaction correspond au comportement d'un agent automatisé.
UNEXPECTED_ENVIRONMENT L'événement provient d'un environnement illégitime.
TOO_MUCH_TRAFFIC Le volume de trafic provenant de la source de l'événement est supérieur à la normale.
UNEXPECTED_USAGE_PATTERNS L'interaction avec votre site s'est montrée très différente des modèles attendus.
LOW_CONFIDENCE_SCORE Le trafic en provenance de ce site est insuffisant pour générer une analyse des risques de qualité.

Étapes suivantes

  • Pour ajuster le modèle spécifique à votre site, vous pouvez renvoyer à Google les ID d'évaluation afin de confirmer les vrais positifs et vrais négatifs, ou corriger les erreurs. Pour en savoir plus, consultez Annoter les évaluations.