Passer au contenu principal

Résoudre les soucis liés au Captcha

L’agent de test Thunders permet aux équipes de lancer des tests fonctionnels automatisés sur votre site web, en simulant le comportement réel d’un utilisateur.

Ines avatar
Écrit par Ines
Mis à jour il y a plus d'un mois

Problématique :

Les systèmes CAPTCHA (Cloudflare Turnstile, Google reCAPTCHA, etc.) sont conçus pour bloquer les robots, et bloquent donc également les tests automatisés.

Pour que Thunders puisse explorer, scanner et valider vos parcours utilisateur, il est nécessaire d’autoriser temporairement le passage de la plateforme sur les environnements de test, en contournant le CAPTCHA.

Pour tirer pleinement parti des tests par l’IA avec Thunders, nous recommandons donc de désactiver les CAPTCHA sur les environnements de tests, selon ces meilleures pratiques :

1) Désactiver le CAPTCHA sur les environnements de test

Désactivez la vérification CAPTCHA sur vos environnements de QA/staging via la configuration ou un feature flag.

Lieu de modification habituel : variables d’environnement, fichiers de config, ou options dans la console d’admin. (Cette méthode est standard si les environnements sont bien séparés.)

Exemple :

CAPTCHA_ENABLED = true en production ; CAPTCHA_ENABLED = false en staging.

Déployez, puis utilisez Thunders sur le domaine staging.

2) Whitelister les IPs/clusters Thunders

Vous pouvez ajouter une ou plusieurs IP de test Thunders à la liste blanche de votre fournisseur CAPTCHA ou de votre firewall, afin que les requêtes de ces IP passent outre le défi CAPTCHA.

Exemple :

Ajoutez les IP de Thunders (disponibles ici) à la liste blanche du module CAPTCHA ou en règle WAF “trusted” sur le staging.

NB : Cette méthode est idéale pour les environnements staging et réseaux internes.

3) Utiliser les clés de test ou le mode démo des fournisseurs

La plupart des fournisseurs proposent des “keys” ou modes test permettant de passer les Captcha sur les environnements de test.

Exemple :

  • Google reCAPTCHA propose des clés test “toujours valides” pour v2/v3.

  • Cloudflare Turnstile fournit des “sitekeys”/tests dédiés et un flux test automatique.

    Utilisez ces clés sur le staging QA.

    Exemple :

    Créez des clés séparées pour le staging et la production.

    En staging config/env : RECAPTCHA_SITE_KEY=test_key, RECAPTCHA_SECRET_KEY=test_secret (ou l’équivalent Turnstile).

    Définissez l’URL de test sur Thunders.

    Pourquoi : rapide, officiel, traçable et ne pose aucun risque si les clés sont limitées à l’envi de test.

4) Exempter les comptes de test dédiés (trusted accounts)

Créez un ou plusieurs comptes dédiés au test (ex : [email protected]) et appliquez-leur un flag spécial (ex : bypass_captcha=true), pour qu’ils ne soient jamais challengés par le CAPTCHA lors de la connexion.

Exemple :

Ajoutez un boolean “skip_captcha” sur le profil utilisateur ou vérifiez le rôle “trusted” avant d’afficher un CAPTCHA.

Veillez à ce que ces comptes soient limités au minimum d’accès et que les credentials soient renouvelés régulièrement.

Bonnes pratiques

  • Toujours limiter le contournement du CAPTCHA aux environnements de test/QA/staging, et jamais en production.

  • Documentez la méthode utilisée pour assurer la traçabilité.

Avez-vous trouvé la réponse à votre question ?