Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Captcha

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
14.12.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Captcha est la mise en oeuvre des Tests de Turing appliquée à la lutte contre les robots (programmes s'exécutant automatiquement) qui tentent de se faire passer pour des humains, par exemple en s'inscrivant automatiquement sur tous les forums et blogs du monde, et en y insérant des messages avec des liens (Spamdexing), ou des publicités ou en y propageant une idée, une doctrine...

Captcha - La contre-mesure au spam et au spamdexingCaptcha - La contre-mesure au spam et au spamdexingCaptcha - La contre-mesure au spam et au spamdexing

Captcha est l'acronyme de Completely Automated Public Turing test to tell Computers and Humans Apart (Test de Turing publique, totalement automatisé, pour discriminer entre humains et ordinateurs).

Captcha est la mise en œuvre des Tests de Turing appliquée à la lutte contre les robots (programmes s'exécutant automatiquement) qui tentent de se faire passer pour des humains, par exemple en recherchant tous les forums et blogs du monde, en s'y inscrivant automatiquement et en y insérant des publicités ou en y propageant une doctrine, une idéologie... ou en indexant massivement une page d'un site.

Vous pouvez utiliser un Tests de Turing pour protéger votre boîte e-mail en vous assurant que celui qui vous envoie un courrier est bien un humain et non pas un robot (un spammeur). Ceci est traité avec les Tests de Turing dans le Dossier Spam.

Lorsque vous vous inscrivez sur un site ou un forum de discussion, il vous est souvent demandé de reproduire un texte déformé apparaissant sur un fond perturbé. Il s'agit d'un Tests de Turing. Ces Tests de Turing sont simples, trop simples parfois, ce qui a conduit les spammeurs à développer des outils pour les briser automatiquement - voir, par exemple :
Breaking a Visual CAPTCHA,
Computer Scientists Crack a Set of AI-Based Puzzles,
PWNtcha - captcha decoder,
Using AI to beat CAPTCHA.

Il faut donc développer des Tests de Turing plus durs (tout en pensant aux solutions d'accessibilité pour les handicapés).

Les Challenge messagesLes Challenge messages ou CaptchaLes Challenge messages

Les " Challenge messages " (ou " Captcha ") sont des contre-mesures au spam et au spamdexing dont la mise en œuvre est simple. Elle doit permettre de s'assurer, dans plusieurs cas de figure, que l'interlocuteur est un humain et non pas une machine (un robot). " Challenge messages " (ou " Captcha ") est un développement des dans lesquels on essaie de discriminer entre le robot et l'humain (et, accessoirement, en matière de spam de boîtes eMail, de s'assurer que l'auteur d'un courriel est autorisé à faire parvenir un courriel).

La demande de mot de passe est un challenge qui permet de passer ou d'échouer à un test, mais qui ne permet pas de discriminer entre le robot et l'humain.

Le principe qui anime les Captchas est un système d'authentification dans lequel le challenge consiste à faire échouer un robot et permettre à un humain de passer le test. C'est un dérivé des Tests de Turing. L'authentification par mot de passe, lorsque la saisie du mot de passe se fait sur un clavier virtuel avec disposition aléatoire des touches de ce clavier, oblige à une manipulation physique (souris ou écran tactile) et ajoute donc un Tests de Turing à l'intérieur d'un système d'authentification.

Les " Challenge messages " (ou " Captcha ") sont utilisés contre :

  • Le Spam
  • Le Spam viral
  • Les inscriptions automatisées dans les forums
  • Les inscriptions automatisées dans les services d'emails gratuits (Yahoo!, Microsoft...) où certains robots tentent d'attaquer le service en créant des milliers de comptes à la minute.
  • Les votes informatisés (sondages etc. ...)
  • Les robots d'indexation lorsque le contenu ne doit pas être public et / ou ne doit pas être indexé
  • Les attaques par dictionnaire ou en force brute
Contre le Spam et le Spam viral, le "Challenge message" ou Captcha est un petit dispositif de protection simple, utilisé au niveau des serveurs de messagerie ou dans les procédures d'inscription sur un site ou un forum ou un blog, etc. ...

Les FAI (Fournisseur d'Accès Internet) qui offrent un service de messagerie en ligne, agissent activement contre les robots. Lorsqu'un expéditeur vous envoi un courriel pour la première fois alors que vous êtes protégé par ce système, il reçoit automatiquement une demande d'authentification sous la forme d'une devinette dont la réponse est très simple à trouver pour un humain mais est difficile et, croyait-on, impossible à trouver pour une machine. Les emails de cet expéditeur seront acceptés uniquement s'il arrive à résoudre le Challenge message (Captcha). Toutefois, de nombreux Challenge message (Captcha) ont été contournés (percés) par les cybercriminels et des Challenge message (Captcha) plus élaborés remplacent désormais les premiers types, trop faibles.


Exemple d'un captcha minimaliste. La déformation des lettres, sur un fond uniforme, n'est pas de nature à tromper un logiciel d'analyse et reconnaissance de caractères (OCR).
Exemple d'un Captcha (Test de Turing) minimaliste. La déformation des lettres, sur un fond uniforme, n'est pas de nature à tromper un logiciel d'analyse et reconnaissance de caractères (OCR). Ce captcha (Test de Turing) est percé depuis longtemps et ne sert à rien.


Un QCM - Questionnaire à Choix Multiples - sera soumis ou un texte sera affiché, très déformé, de manière à ne pas pouvoir être lu, croyait-on, par un outil de reconnaissance automatique de caractères - OCR - mais serait lisible pour un humain. Ce type de Challenge message (Captcha) a également été rapidement percé par les cybercriminels.


Exemple d'un captcha (Test de Turing) minimaliste. Le brouillage des lettres, sur un fond uniforme, n'est pas de nature à tromper un logiciel d'analyse et reconnaissance de caractères (OCR). Ce captcha (Test de Turing) est percé depuis longtemps et ne sert à rien.
Exemple d'un captcha (Test de Turing) minimaliste. Le brouillage des lettres, sur un fond uniforme, n'est pas de nature à tromper un logiciel d'analyse et reconnaissance de caractères (OCR). Ce captcha (Test de Turing) est percé depuis longtemps et ne sert à rien.


Des chercheurs de l'University of California à Berkeley ayant développés des programmes capables de résoudre automatiquement les énigmes de ces challenges et ayant atteint un taux de réussite de 83%, les nouveaux challenges sont beaucoup plus complexes pour la machine tout en restant simple pour l'humain. Ainsi, des séries de photos sont présentées et il faut chercher l'intrus (ou une série de photos est présentée sur un même thème et il faut dire de quel thème il s'agit). Pour éviter les robots, les photos constituant la série soumise sont des photos extraites au hasard d'une immense base de photos du même thème (et il existe des centaines de thèmes) et, d'autre part, chaque photo est présentée déformée aléatoirement, ce qui empêche toute création d'une base de signatures qui permettrait une robotisation des réponses tandis que le cerveau humain est capable d'appliquer une correction intuitive à cette déformation.

Dans l'exemple ci-dessous, ce sont des ponts (bridge en anglais). Ici, la réponse est donc "bridge" ou "bridges". Vous voyez et sentez, intuitivement, la convergence entre ces photos. Un utilitaire d'analyse de photographies n'arrivera pas, aussi puissant soit-il et aussi puissante que soit la machine sur laquelle il est installé, à détecter les objets présents sur chaque photos puis à déduire quel est le dénominateur commun. La robotisation du décryptage de ce challenge est impossible, mais les cybercriminels ont trouvé des contre-mesures.


Exemple d'un captcha (Test de Turing) bloquant pour les robots. Il faut trouver le point commun entre plusieurs images. Les cybercriminels soumettent en temps réel ces captcha (Test de Turing) à des internautes tentant de s'inscrire sur des sites pornographiques qu'ils opèrent. Ce type de captcha (Test de Turing) est percé depuis longtemps et ne sert à rien.
Exemple d'un captcha (Test de Turing) bloquant pour les robots. Il faut trouver le point commun entre plusieurs images. Les cybercriminels soumettent en temps réel ces captcha (Test de Turing) à des internautes tentant de s'inscrire sur des sites pornographiques qu'ils opèrent. Ce type de captcha (Test de Turing) est percé depuis longtemps et ne sert à rien.


Dans l'exemple ci-dessous, la réponse est 3 mots au choix parmi ceux que vous voyez. Vous, être humain en train de lire ceci, vous voyez les mots. Tentez de soumettre ceci à un utilitaire de reconnaissance automatique de caractères (un programme d'OCR) : il ne comprendra probablement rien, mais les cybercriminels ont trouvé des contre-mesures.


Exemple d'un captcha minimaliste. La déformation des lettres, sur un fond uniforme, n'est pas de nature à tromper un logiciel d'analyse et reconnaissance de caractères (OCR).
Exemple d'un captcha (Test de Turing) bloquant pour les robots. Il faut trouver au moins 3 mots parmi plusieurs déformés et présentés sur un fond torturé. Les cybercriminels soumettent en temps réel ces captcha (Test de Turing) à des internautes tentant de s'inscrire sur des sites pornographiques qu'ils opèrent. Ce type de captcha (Test de Turing) est percé depuis longtemps et ne sert à rien.


CAPTCHA Project

The CAPTCHA Project est un projet commencé en 2000 par la branche "School of Computer Science" de la prestigieuse Université de Carnegie Mellon. Il est conduit par un groupe de professeurs et d'étudiants sous le nom d'ALADDIN (Center for ALgorithm ADaptation Dissemination and INtegration) et est supporté par le National Science Foundation (NSF). Le terme de CAPTCHA a été inventé en 2000, pour nommer leur projet, par :

  • Luis von Ahn (professeur assistant au Computer Science Department de Carnegie Mellon, Genius Award (MacArthur Fellowship) 2006, prix Grace Murray Hopper en 2011, prix "New Faculty" Microsoft).
  • Manuel Blum (professeur au Computer Science Department de Carnegie-Mellon)
  • Nicholas J. Hopper (professeur au Computer Science Department de Carnegie-Mellon)
  • John Langford (actuellement (2016) chercheur principal au Microsoft Research - en 2000 il était étudiant au Carnegie Mellon où il obtiendra son Doctor of Philosophy (Ph.D.) en 2002 (après un double baccalauréat en Physique et en Informatique en 1997. Il passera par Yahoo!, Toyota Technological Institute et l'IBM's Watson Research Center).

CAPTCHA est une marque déposée de l'Université de Carnegie Mellon. Le site http://www.captcha.net/ est un site de la Carnegie Mellon.

The CAPTCHA Project donna naissance à une industrialisation sous le nom de reCaptcha, avec certains des acteurs du projet de Carnegie Mellon. Les travaux gratuits sur la difficulté de lecture par les ordinateurs sont utilisés, inversement, dans les projets de numérisation des livres. Les :

  • Possibles colossales profitabilités du projet de numérisation des livres,
  • Possibles colossales possibilités d'espionnage des recherches et lectures des internautes dans les livres numérisés (tracking, surveillance, profiling...),
  • Possibles colossales possibilités d'espionner sur quels sites les internautes s'inscrivent, et ainsi établir leurs cercles d'intérêts sur le Web, en proposant une API gratuite aux Webmasters vers un reCaptcha ultra facile à mettre en œuvre sur les sites Web,

n'ont pas échappés à Google qui rachète reCaptcha le 16.09.2009 (annonce).

reCAPTCHA et tracking (espionnage) par Google

The CAPTCHA Project a donné naissance à reCaptcha qui a été acquis par Google le 16.09.2009 (annonce). Google offre ce service de protection d'accès et d'inscription gratuitement.

Le Challenge message (Captcha) offert par Google
Le Challenge message (Captcha) offert par Google

C'est encore l'un de ces services gratuits de Google lui servant de tag de tracking pour surveillance et profiling. Ce "service" est au service de sa régie publicitaire (Google Adsense) et, probablement, au service d'autres révélés par Snowden avec Prism et Cie.

En plus, comme à son habitude, Google a organisé un buzz mensonger autour de reCaptcha en prétendant que la plupart des mots difficiles à lire provenaient de leur projet de numérisation, extrêmement controversé, de livres papier (ce projet est une violation des copyrights et une appropriation des bases de connaissances mondiales sous une forme dont l'avenir rend Google détenteur !).

Le buzz tourne autour du fait que cela aide Google à comprendre les mots illisibles, grâce à du crowdsourcing. Or les mots doivent être lisibles, difficilement certes, mais lisibles pour que les internautes puissent s'inscrire et que le système puisse authentifier qu'il s'agit d'un humain et non d'un robot (principe des Tests de Turing). Il n'est donc JAMAIS possible de soumettre aux internautes des mots dont on ne connaît même pas le sens, car leur graphie est illisible, ce qui conduirait, inexorablement, à l'échec du discernement entre humain et robot, puisque l'on ne pourrait comparer la saisie de l'internaute à une valeur attendue. Tous les internautes seraient considérés comme des robots ! C'est un bras d'honneur fait par Google à la communauté des internautes, au monde de l'écriture, au monde du livre, au monde du droit d'auteur, au monde de l'édition, à la culture, etc. ...

S'il n'y arrive pas après plusieurs tentatives qui ne peuvent aboutir, l'internaute change de CAPTCHA, mais ses " erreurs d'interprétation ", et celles des millions d'autres internautes, sont statistiquement utilisées pour décrypter les livres qui ne passent pas à la reconnaissance automatique de caractères. Google gagne de l'argent gratuitement :

Si le service est gratuit, c'est que vous êtes le service !

Il en va de même avec les images issues de Google Street View, contenant du texte (panneaux indicateurs, plaques commémoratives, plaques des noms des rues et places, etc. ...) dont Google laisse entendre que reCaptcha aide à l'enrichissement de Street view. Là aussi, Google utilise à leur insu, et gratuitement, les internautes, pour leur faire déchiffrer ce qui va effectivement enrichir Street View et Google Maps et... la société Google. C'est, là aussi, du crowdsourcing, et vous êtes un service gratuit utilisé par Google, et non pas l'inverse.

Voir, par la même occasion, le scandale du WarDriving pour StreetView.

Captcha à trierCaptcha à trier - Une forme de Captcha que les cybercriminels n'arrivent pas à percerCaptcha à trier

Voir l'article Captcha à trier.

Contre-mesures par les spammeurs pour casser les challenge messages (Captchas)Contre-mesures pour casser les contre-mesures des challenge messages (Captchas)Contre-mesures par les spammeurs pour casser les challenge messages (Captchas)

Les Challenge message (Captcha) sont une contre-mesure aux robots spammeurs (des boîtes de courriel, des blogs, des forums, etc. ...). Les cybercriminels ont trouvé des contre-mesures à ces contre-mesures et la plupart des Captchas sont cassés :

Cherchez, avec Google : captcha broken

  1. Ils " externalisent " la solution au problème que leur posent les Captchas. Ils recopient en temps réel le Challenge message (Captcha) et le mettent sur des sites pornographiques gratuits sur lesquels des centaines de milliers de personnes tentent de s'inscrire à chaque instant (ce qui se passe en dessous de la ceinture représente plus de 50% de l'occupation globale du Web !). Ce sont des humains qui, à leur insu, résolvent ces Challenge message (Captcha) pour le compte des cybercriminels. Ce sont des attaques utilisant le principe du crowd-sourcing ! La résolution d'un Challenge message (Captcha), par un visiteur de ce type de sites, lui donne le droit de naviguer sur ce site durant quelques heures ou quelques jours.

    Il existe quantité de " solutions " pour les spammeurs, contre les Challenge message (Captcha) :
    Cherchez par exemple, avec Google : captcha ("trivially-broken" OR "trivially broken")

  2. Dito avec des sites de partages d'œuvres soumises à droit d'auteur et piratées (sites de téléchargements). La résolution d'un Challenge message (Captcha), par un utilisateur du site de téléchargement, lui donne le droit de télécharger durant quelques heures ou quelques jours. Il vient de résoudre, à son insu, un Challenge message (Captcha) pour le compte d'un cybercriminel.

  3. Dito avec des sites de jeu en ligne opérés par les cybercriminels. La résolution du Challenge message (Captcha) donne le droit de jouer durant un certain temps.

  4. Les cybercriminels soumettent les Challenge message (Captcha) à des employés humains de sociétés de solution des CAPTCHAs, qu'ils ont créés et qu'ils opèrent, dans des pays sous-développés. Les spammeurs payent environ 0,80 $ à 1,20 $ par tranche de 1000 Challenge message (Captcha) résolus, au Bangladesh, en Chine, en Inde, et dans de nombreux autres pays en développement. [1] D'autres sources citent un taux aussi bas que 0,50 $ par tranche de 1 000 Challenge message (Captcha) résolus.

    Cherchez, avec Google : captcha ("cheaply-broken" OR "cheaply broken")

  5. Contre les Captchas " primaires ", il ne faut pas longtemps à un bon programmeur pour écrire une solution à base d'OCR (reconnaissance de caractères) et lire le Captcha directement à l'écran.

  6. Des " services " de résolution de Captcha se louent, comme, par exemple, cette API :
    http://www.imagetyperz.com/Forms/NewAPI.aspx

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre-mesures aux contre-mesures à la contre-mesureContre-mesures aux contre-mesures à la contre-mesureContre-mesures aux contre-mesures à la contre-mesure

C'est la course aux armements ! Puisque les contre-mesures trouvées par les cybercriminels pour contrer la contre-mesure au spam et au spamdexing utilisent des humains, il faut une solution qui ne peut qu'être le fait de l'internaute devant son ordinateur : une gestuelle physique, une interaction physique entre lui-même et son ordinateur. Le " drag and drop " (glisser - déposer) et les claviers virtuels sont la solution. Les Captcha à trier sont des captchas qui résistent.

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

[1] 25.04.2010 - The New York Times - Spammers Pay Others to Answer Security Tests - Archivé

RessourcesRessources" Ressources "

Google : captcha-like

 Requêtes similairesRequêtes similaires" Requêtes similaires "

Tests de Turing appliqués à la lutte contre les robots d'inscription sur les sites