Cette page a été traduite par l'API Cloud Translation.

Créer des clés reCAPTCHA pour des sites Web

Cette page explique comment créer des clés reCAPTCHA (également appelées clés) pour vérifier les interactions des utilisateurs sur vos pages Web.

Les clés reCAPTCHA représentent la configuration de reCAPTCHA pour un site Web. La configuration inclut des options importantes, telles que l'affichage ou non des tests CAPTCHA.

Avant de commencer

Préparez votre environnement pour reCAPTCHA.
Assurez-vous de disposer du rôle Identity and Access Management Administrateur reCAPTCHA Enterprise (roles/recaptchaenterprise.admin).
Choisissez le type de clé qui correspond le mieux à votre cas d'utilisation.

Créer une clé reCAPTCHA

Vous pouvez créer un nombre illimité de clés reCAPTCHA pour un projet Google Cloud . Il est préférable de créer une clé reCAPTCHA par site Web.

Nous vous recommandons de créer des clés reCAPTCHA distinctes pour les environnements de préproduction et de production. Sinon, vous risquez de polluer l'analyse des risques reCAPTCHA avec des données de votre environnement de test.

La façon la plus simple de créer une clé reCAPTCHA consiste à utiliser la console d'administration reCAPTCHA. Vous pouvez également utiliser la console Google Cloud , l'API reCAPTCHA Enterprise ou Google Cloud CLI.

Console d'administration

Accédez à la console d'administration reCAPTCHA.

Accéder à la console d'administration reCAPTCHA
Dans le champ Libellé, saisissez un nom permettant d'identifier votre site.
Si vous souhaitez créer une clé basée sur un score, sélectionnez Sur la base d'un score (v3). Si vous souhaitez créer une clé de case à cocher, sélectionnez Défi (v2).
Pour ajouter un domaine, saisissez son nom, puis cliquez sur .
Pour ajouter un autre domaine, vous pouvez répéter cette étape. Vous pouvez ajouter jusqu'à 250 domaines.
Si vous n'avez jamais utilisé la console Google Cloud , lisez les conditions d'utilisation, puis cochez la case.
Cliquez sur Envoyer.

Si vous n'avez jamais utilisé la console Google Cloud , un projet Google Cloud est créé et les API nécessaires sont activées pour vous permettre de commencer. Si vous disposez déjà d'un projet Google Cloud , les API nécessaires sont activées pour que vous puissiez commencer.

Cloud Console

Dans la console Google Cloud , accédez à la page reCAPTCHA.

Accéder à reCAPTCHA
Vérifiez que le nom de votre projet s'affiche dans le sélecteur de projet en haut de la page.

Si le nom de votre nouveau projet n'apparaît pas, cliquez sur le sélecteur de projet, puis sélectionnez votre projet.
Cliquez sur Créer une clé.
Dans le champ Nom à afficher, saisissez un nom à afficher pour la clé.
Pour le type d'application, sélectionnez Web.
La section Liste de domaines s'affiche.
Saisissez le nom de domaine de votre site Web :
1. Dans la section Liste de domaines, cliquez sur Ajouter un domaine.
2. Dans le champ Domaine, saisissez le nom de votre domaine.
3. Facultatif : pour ajouter un domaine supplémentaire, cliquez sur Ajouter un domaine et saisissez le nom d'un autre domaine dans le champ Domaine. Vous pouvez ajouter jusqu'à 250 domaines.
  
  Pour les sites Web, la clé reCAPTCHA est unique aux domaines et aux sous-domaines que vous spécifiez. Vous pouvez spécifier plusieurs domaines si vous diffusez votre site Web à partir de plusieurs domaines. Si vous spécifiez un domaine (par exemple, examplepetstore.com), vous n'avez pas besoin de spécifier ses sous-domaines (par exemple, subdomain.examplepetstore.com).
  
  Pour utiliser une clé sur plus de 250 domaines, cliquez sur le bouton Désactiver la validation du domaine. reCAPTCHA ignorera alors la liste des domaines. Vous devez valider vous-même le domaine en examinant le champ tokenProperties.hostname dans les évaluations que vous créez.
Selon le type de clé reCAPTCHA que vous souhaitez créer pour votre site Web, effectuez l'action appropriée :

Créer des clés reCAPTCHA basées sur des scores

Pour protéger la clé reCAPTCHA pour votre domaine et vos sous-domaines, assurez-vous que l'option Désactiver la validation du domaine est désactivée.
La désactivation de la validation de domaine est un risque pour la sécurité, car il n'existe aucune restriction sur le site. Par conséquent, votre clé reCAPTCHA est accessible et utilisée par n'importe quel utilisateur.
Si vous souhaitez autoriser la clé basée sur des scores à fonctionner avec les pages AMP (Accelerated Mobile Pages), activez le bouton Autoriser cette clé à utiliser les pages AMP.
Pour votre environnement hors production, si vous souhaitez spécifier un score que la clé doit renvoyer lorsque des évaluations sont créées pour celui-ci, procédez comme suit :
1. Cliquez sur Étape suivante (facultatif).
2. À l'étape "Paramètres supplémentaires", cliquez sur le bouton Créez-vous cette clé à des fins de test uniquement ?.
3. Utilisez le curseur Définir le score pour spécifier un score compris entre 0 et 1.
Cliquez sur Créer une clé.

La nouvelle clé est répertoriée sur la page Clés reCAPTCHA.

Créer des clés reCAPTCHA avec case à cocher

Pour protéger la clé reCAPTCHA pour votre domaine et vos sous-domaines, assurez-vous que l'option Désactiver la validation du domaine est désactivée.
La désactivation de la validation de domaine est un risque pour la sécurité, car il n'existe aucune restriction sur le site. Par conséquent, votre clé reCAPTCHA est accessible et utilisée par n'importe quel utilisateur.
Cliquez sur Étape suivante (facultatif).
À l'étape "Paramètres supplémentaires", activez l'option Allez-vous utiliser des tests ?. activer/désactiver.
Sélectionnez l'option Test de sécurité appropriée.
L'option "Test de sécurité" contrôle la probabilité qu'un utilisateur soit invité à effectuer un test secondaire dans lequel il doit sélectionner des images d'une catégorie identifiée (par exemple, des images de motos ou d'escaliers).

Pour renforcer la protection contre les fraudes, sélectionnez l'option Difficile.

Si vous sélectionnez Facile, les utilisateurs seront moins susceptibles d'être soumis au test visuel.
Pour votre environnement hors production, si vous souhaitez spécifier un score que la clé doit renvoyer lorsque des évaluations sont créées pour celui-ci, procédez comme suit :
1. Cliquez sur le bouton d'activation Créez-vous cette clé à des fins de test uniquement ?.
2. Utilisez le curseur Définir le score pour spécifier un score compris entre 0 et 1.
3. Sélectionnez l'option Type de validation appropriée.
  - L'option Auto affiche parfois le défi.
  - Aucun CAPTCHA n'affiche pas de test.
  - Test insoluble : les images s'affichent, mais le test n'est pas réussi.
4. Cliquez sur Créer une clé.
La nouvelle clé est répertoriée sur la page Clés reCAPTCHA.

gcloud

Pour créer des clés reCAPTCHA, utilisez la commande gcloud recaptcha keys create.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

DISPLAY_NAME : nom de la clé. Généralement un nom de site.
INTEGRATION_TYPE : type d'intégration. Selon le type de clés, spécifiez les valeurs suivantes :
- score pour les clés basées sur des scores.
- checkbox pour les clés de cases à cocher.
Remarque : Nous vous déconseillons d'utiliser CHECKBOX, car cela augmente la friction des utilisateurs et n'améliore pas la précision de manière significative. Pour en savoir plus, consultez les questions fréquentes.
DOMAIN_NAME : domaines ou sous-domaines de sites Web autorisés à utiliser la clé.
Spécifiez plusieurs domaines sous la forme d'une liste d'éléments séparés par une virgule.
Pour utiliser une clé sur plus de 250 domaines, spécifiez --allow-all-domains pour désactiver la validation du domaine. reCAPTCHA ignorera alors la liste des domaines. Vous devez valider vous-même le domaine en examinant le champ tokenProperties.hostname dans les évaluations que vous créez.

La désactivation de la validation de domaine est un risque pour la sécurité, car il n'existe aucune restriction sur le site. Par conséquent, votre clé reCAPTCHA est accessible et utilisée par n'importe quel utilisateur.

Remarque : La clé reCAPTCHA est unique aux domaines et aux sous-domaines que vous spécifiez. Vous pouvez spécifier plusieurs domaines si vous diffusez votre site Web à partir de plusieurs domaines. Si vous spécifiez un domaine (par exemple, examplepetstore.com), vous n'avez pas besoin de spécifier ses sous-domaines (par exemple, subdomain.examplepetstore.com).

Exécutez la commande gcloud recaptcha keys create :

Linux, macOS ou Cloud Shell

gcloud recaptcha keys create \
        --web \
        --display-name=DISPLAY_NAME  \
        --integration-type=INTEGRATION_TYPE \
        --domains=DOMAIN_NAME

Windows (PowerShell)

gcloud recaptcha keys create `
        --web `
        --display-name=DISPLAY_NAME  `
        --integration-type=INTEGRATION_TYPE `
        --domains=DOMAIN_NAME

Windows (cmd.exe)

gcloud recaptcha keys create ^
        --web ^
        --display-name=DISPLAY_NAME  ^
        --integration-type=INTEGRATION_TYPE ^
        --domains=DOMAIN_NAME

La réponse contient la clé reCAPTCHA nouvellement créée.

REST

Pour obtenir des informations de référence sur les types de clés et les types d'intégration, consultez les sections Clé et Type d'intégration.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

DISPLAY_NAME : nom de la clé. Généralement un nom de site.
INTEGRATION_TYPE : type d'intégration. Selon le type de clés, spécifiez les valeurs suivantes :
- score pour les clés basées sur des scores.
- checkbox pour les clés de cases à cocher.
Remarque : Nous vous déconseillons d'utiliser CHECKBOX, car cela augmente la friction des utilisateurs et n'améliore pas la précision de manière significative. Pour en savoir plus, consultez les questions fréquentes.
DOMAIN_NAME : domaines ou sous-domaines de sites Web autorisés à utiliser la clé.
Spécifiez plusieurs domaines sous la forme d'une liste d'éléments séparés par une virgule.
Pour utiliser une clé sur plus de 250 domaines, spécifiez --allow-all-domains pour désactiver la validation du domaine. reCAPTCHA ignorera alors la liste des domaines. Vous devez valider vous-même le domaine en examinant le champ tokenProperties.hostname dans les évaluations que vous créez.

La désactivation de la validation de domaine est un risque pour la sécurité, car il n'existe aucune restriction sur le site. Par conséquent, votre clé reCAPTCHA est accessible et utilisée par n'importe quel utilisateur.

Remarque : La clé reCAPTCHA est unique aux domaines et aux sous-domaines que vous spécifiez. Vous pouvez spécifier plusieurs domaines si vous diffusez votre site Web à partir de plusieurs domaines. Si vous spécifiez un domaine (par exemple, examplepetstore.com), vous n'avez pas besoin de spécifier ses sous-domaines (par exemple, subdomain.examplepetstore.com).

Méthode HTTP et URL :

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

Corps JSON de la requête :


{
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
  }
}

Pour envoyer votre requête, choisissez l'une des options suivantes :

curl

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m",
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowAllDomains": false,
    "allowedDomains": [
      DOMAINS
    ],
    "allowAmpTraffic": false,
    "integrationType": "SCORE",
    "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED"
  }
}

(Facultatif) Rechercher une ancienne clé secrète reCAPTCHA

Si vous souhaitez intégrer une application tierce qui n'utilise pas l'API reCAPTCHA Enterprise, vous avez besoin de l'ancienne clé secrète.

Pour chaque clé de site que vous créez, reCAPTCHA génère une ancienne clé secrète reCAPTCHA (ancienne clé secrète) que vous pouvez utiliser avec votre application tierce.

Si vous avez besoin de la clé secrète d'une clé reCAPTCHA Classic, migrez la clé vers reCAPTCHA sur Google Cloud et recherchez l'ancienne clé secrète.

Pour trouver l'ancienne clé secrète :

Dans la console Google Cloud , accédez à la page reCAPTCHA.

Accéder à reCAPTCHA
Dans la section Clés reCAPTCHA, recherchez la clé reCAPTCHA que vous avez créée, puis cliquez dessus.
Sur la page Détails de la clé, dans l'onglet Intégration, cliquez sur Utiliser l'ancienne clé. Une boîte de dialogue s'ouvre et explique comment utiliser l'ancienne clé secrète.