Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
AWS WAF Captcha est la fonction de challenge et captcha d'AWS WAF. Elle présente un défi visuel ou invisible aux visiteurs qui correspondent à des règles suspectes, puis délivre un token signé qui dispense le navigateur de challenges ultérieurs.
AWS WAF Captcha est une fonctionnalité de challenge entièrement managée par AWS Web Application Firewall. Quand une règle WAF est déclenchée, le visiteur reçoit un challenge JavaScript invisible (action Challenge) ou visuel (action Captcha). En cas de succès, AWS WAF stocke un token signé dans un cookie propriétaire afin que l''utilisateur ne soit pas redéfié pendant une durée configurable. Le service s''intègre à CloudFront, à Application Load Balancer, à API Gateway et à AppSync.
AWS WAF Captcha exécute un challenge côté navigateur qui détecte les navigateurs headless, les outils automatisés et les attaques par rejeu. Il collecte des signaux d''appareil (user agent, écran, langue, fuseau, API navigateur) et de comportement (mouvements de souris, accéléromètre quand disponible). Le résultat est un JWT signé renvoyé à l''edge AWS WAF, transmis ensuite via le cookie aws-waf-token.
Le cookie principal est aws-waf-token, déposé sur votre propre domaine en HttpOnly, Secure, SameSite=None. Sa durée par défaut est de 5 minutes pour Challenge et jusqu''à 1 jour pour Captcha, configurable par l''administrateur. AWS traite aussi l''IP, le user agent, l''URL, la réponse au challenge et les signaux de fingerprint capturés par le runtime JavaScript.
Le cookie de captcha peut être considéré comme strictement nécessaire au sens de l''article 82 de la loi Informatique et Libertés, parce qu''il sécurise directement le service demandé. Les signaux comportementaux sont des données personnelles relevant de l''intérêt légitime (article 6(1)(f) RGPD) avec un test de mise en balance documenté. AWS est sous-traitant au titre de votre DPA. Mentionnez AWS WAF Captcha dans votre politique de confidentialité.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
AWS WAF s''exécute en edge proche de l''utilisateur, y compris en UE. AWS, en tant qu''entité, est basée aux États-Unis et opère son control plane dans des régions américaines. AWS participe au Data Privacy Framework UE-États-Unis et propose des CCT. Documentez le mécanisme de transfert dans votre registre.
Traitez AWS WAF Captcha comme un outil strictement nécessaire à la sécurité, activable par défaut sans consentement préalable. Décrivez-le clairement dans votre politique (finalité, signaux, durée, AWS sous-traitant, mécanisme de transfert). Prévoyez une alternative accessible pour les utilisateurs qui échouent. Réduisez la durée du token au minimum utile et conservez le cookie sur le seul domaine propriétaire.
Les sites web utilisant AWS WAF Captcha doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD peut être utile lorsque AWS WAF Captcha est déployé sur des parcours grand public où il pourrait exclure des utilisateurs légitimes (inscription, paiement, réinitialisation de mot de passe). Documentez les signaux collectés (souris, accéléromètre, comportement), la durée de conservation par AWS, le choix de la résidence UE et le mécanisme de recours pour les utilisateurs qui échouent au challenge.
Exemple de texte de consentement
Nous utilisons AWS WAF Captcha pour protéger ce site contre les abus automatisés. Le captcha dépose un petit cookie de token utilisé pour vous reconnaître comme humain pendant quelques heures. Il est strictement nécessaire à la sécurité du site et fonctionne sans consentement préalable.
Domaines tiers contactes
*.awswaf.com*.tokens.awswaf.com*.cloudfront.netCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| aws-waf-token | http_cookie | Up to 1 day | First party HttpOnly Secure JWT issued after a successful Challenge or Captcha that proves the browser is not automated. |
| aws-waf-challenge | http_cookie | Session | Short lived state cookie used during the Challenge interstitial to track that the visitor is in the middle of solving a challenge. |
AWS WAF Captcha est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
Le cookie principal est aws-waf-token, un cookie propriétaire HttpOnly Secure qui stocke le JWT signé délivré après un Challenge ou Captcha validé. Sa durée par défaut est de 5 minutes pour Challenge et jusqu'à 1 jour pour Captcha, configurable par l'administrateur WAF.
En général non. Le cookie aws-waf-token est posé pour la sécurité et bénéficie de l'exemption strictement nécessaire de l'article 82 de la loi Informatique et Libertés. Les signaux comportementaux relèvent de l'intérêt légitime à la lutte contre la fraude et les bots. Mentionnez l'outil dans la politique de confidentialité plutôt que de demander un consentement.
Intérêt légitime au sens de l'article 6(1)(f) du RGPD pour la lutte contre la fraude et les bots, avec un test de mise en balance documenté. Le cookie lui-même bénéficie de l'exemption strictement nécessaire de l'article 82.
AWS WAF tourne en edge proche du visiteur et supporte des points UE. AWS Inc est une société américaine et opère son control plane aux États-Unis. AWS est certifié au Data Privacy Framework UE-États-Unis et propose des CCT.
Une AIPD est recommandée pour les déploiements à fort impact (flux financiers, inscription, réinitialisation de mot de passe) où un échec au captcha peut exclure des utilisateurs vulnérables. Documentez les signaux collectés, l'impact sur l'accessibilité et la voie de recours.
N'appliquez le captcha que sur les règles ciblant un trafic abusif, pas sur chaque requête. Réduisez la durée du token, restreignez-le au domaine propriétaire, prévoyez une voie alternative accessible (revue manuelle, contact email) pour les utilisateurs en échec et décrivez l'outil dans votre politique.
Alternatives : Cloudflare Turnstile, hCaptcha, Friendly Captcha (UE), reCAPTCHA Enterprise, MTCaptcha, Arkose Labs et Datadome. Friendly Captcha et quelques autres sont pensés pour minimiser le tracking et hébergent les données en UE.
Ajoutez le cookie aws-waf-token comme cookie de sécurité strictement nécessaire. Précisez qu'AWS WAF Captcha est utilisé contre les bots et la fraude, mentionnez AWS comme sous-traitant, la base de transfert Data Privacy Framework UE-États-Unis et renvoyez vers la politique de confidentialité d'AWS.