Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Test de Turing

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Test de Turing - Tests fait par un dispositif afin de discriminé le robot de l'humain.

Test de TuringTest de Turing - PrincipeTest de Turing

Historiquement, qu'est-ce qu'un test de Turing ?

C'est un test conçu en 1950 par Alan Mathison Turing [1], l'un des 2 ou 3 fondateurs des sciences de l'informatique [2], basé sur un test antérieur qui, initialement, cherchait à déterminer le sexe d'une personne uniquement en discutant avec elle par écrit (sans la voir, sans l'entendre).

Ce test a été étendu (notamment via le Prix Loebner [3]) à la détermination de l'"humanité" de l'interlocuteur : celui-ci est-il un humain ou un robot parlant, comme Alice [4] ?

Est-ce que l'ordinateur pense ?

On met un expérimentateur-testeur d'un côté, et on cache une machine et un bonhomme de l'autre. Si le testeur se fait avoir par la machine et ne sait pas faire la différence entre l'homme et la machine, alors la machine pense.

Dans une variante du test, la machine seule doit se faire passer pour un humain. En fait, ce test se résume à une expérience dans laquelle un observateur tient une conversation avec un tiers inconnu. Comment cet observateur, par l'unique analyse des messages échangés, pourra-t-il distinguer l'homme de la machine ? Turing était convaincu que tout n'était qu'un problème d'information et que le développement des technologies permettrait d'ici cinquante ans (donc vers l'an 2000) aux machines de tenir en échec l'être humain au moins cinq minutes.




Sort des e-mail en quarantaine (ou file d’attente).
Il ne faut jamais détruire automatiquement les e-mails reçus et suspectés d’être du spam, surtout dans le monde de l’entreprise ou un nouvel interlocuteur, un prospect par exemple ou un client ou un fournisseur potentiel..., n’est pas encore connu de la liste blanche. Dans les solution à base de test de Turing, le courrier non validé par les listes blanches, est automatiquement mis en quarantaine et l'expéditeur est avisé qu'il a à se justifier en tant qu'humain. En attendant qu'il le fasse (immédiatement s'il est là, dans quelques heures à quelques jours s'il n'accède pas en continu à sa boîte de réception (absence, déplacement, vacances etc. ...), vous avez, si vous êtes pressé, accès très simplement à la quarantaine. Il faut agir exactement comme pour le relevé du courrier papier. Un coup d’œil rapide à l’enveloppe (le sujet et l’expéditeur dans le cas des e-mails) permet de voir immédiatement, avec un peu d’habitude, ce qui est à conserver. Tout le reste sera jeté automatiquement. MailInBlack, la solution française basée sur un test de Turing, apporte une solution élégante et rapide à la gestion de la file d’attente.

Qu'apportent ces services ?
Un service qui ne serait qu’un bête test de Turing sans rien autour n’apporte pas grand chose. Aujourd’hui les quelques services anti-spam de cette nature, disponibles, sont des ensembles de services incorporant un web-mail, la gestion de plusieurs adresses, la gestion antivirale, la gestion auto-nettoyante de la file d’attente, la protection anti-spam même en cas d’attaque en force brute ou par dictionnaire etc.…

Ils apportent donc un arrêt immédiat du spam (et des virus de mail lorsqu'ils sont couplés à un antivirus) sans pratiquement rien avoir à faire. Les mieux conçus demandent simplement de re paramétrer le compte mail, en 2 minutes.

Quels problèmes posent ces services ?

  • Pour l'expéditeur :
    • Un certain retard à la lecture de son premier envoi (uniquement le premier) ce qui peut poser un problème, certes limité. Notons que la solution française MailInBlack propose un by-pass.

    • Un sentiment de défiance ou de manque de reconnaissance du destinataire face à l'expéditeur (Comment !? Me faire ça à moi comme à un vulgaire spammeur !), sentiment pouvant être catastrophique en affaires compte tenu de certaines psychologies humaines. Notons que la solution française MailInBlack permet de rapprocher les 2 interlocuteurs en personnalisant le test de Turing reçu par l'expéditeur (y compris avec la présence d’une photo ou du logo de l’entreprise...).

    • Un certain agacement lorsque l’expéditeur reçoit plusieurs tests de Turing en même temps, ce qui peut être assimilé à un mail-bombing. Ce cas, très rare dans la réalité, peut se présenter lorsque quelqu’un écrit à de très nombreuses personnes simultanément et pour la première fois alors que ces destinataires sont équipés d’un test de Turing. C’est une hypothèse d’école. MailInBlack, à qui nous évoquions le risque, à répondu par une solution technique dans les 48 heures. Dito lorsque le même expéditeur écrit plusieurs fois à la même personne protégée et qu’il reçoit autant de test de Turing que de correspondances émises tant qu’il n’a pas répondu à l’un des tests. Notons que la solution française MailInBlack apporte une solution simple et un expéditeur ne reçoit jamais plusieurs demandes du même destinataire.

    • Une étape additionnelle dans le risque de perte de confidentialité de la correspondance.

  • Pour le destinataire protégé par un test de Turing :

    • Il existerait, intellectuellement, une solution tarabiscotée contre certains tests de Turing qui ferait tomber sa protection mais aucune réalisation pratique n’a jamais été vue [5]. Cela semble plutôt relever de masturbations intellectuelles.

    • La correspondance entrante ne parviendra, la première fois, qu'après résolution du test de Turing par l'expéditeur. Notons que la solution française MailInBlack à prévu un by-pass.

    • Il y a un risque de « froisser » certains expéditeurs par cette demande (sans compter ceux qui refusent de répondre par principe (lequel ?)). Notons que la solution française MailInBlack à prévu l’inscription automatique en liste blanche des correspondants présents dans le carnet d’adresses donc tous les correspondants habituels avant l’installation de MailInBlack peuvent ainsi être dispensés du test de Turing.

    • Une étape additionnelle dans le risque de perte de confidentialité de la correspondance lorsqu'un tiers inconnu (la société qui propose ce service) s'interpose entre vos correspondants et vous pour faire tourner ces tests de Turing. Risque de constitution d'archives de tracking (pas de cas connu actuellement).

    • Un problème éventuel de permanence et pérennisation du service : il faut tenir compte de la taille de l'entreprise qui offre ce service. Notons que la solution française MailInBlack est soutenue par l’ANVAR.

Test de Turing - Mise en oeuvre contre le spam des boîtes à courriels (eMail)Test de Turing - Mise en oeuvre contre le spam des boîtes à courriels (eMail)Test de Turing - Mise en oeuvre contre le spam des boîtes à courriels (eMail)

Les utilitaires anti-spam à base de test de Turing représentent LA solution anti-spam actuelle (spam des boîtes eMail comme spam des forums de discussion et blog : Comment spamming (spam des forums)). En moins de 2 minutes, vous ne recevez plus aucun courrier. Après une micro phase d'apprentissage (récupération de votre carnet d'adresses) il n'y a quasiment plus rien à faire.

Aujourd'hui, que sont les tests de Turing dans la lutte anti-spam ?
C'est une contre-mesure au spam. Il s'agit de s'assurer que l'émetteur d'un courrier électronique est bien un humain et pas un robot. Pour ce faire on va demander à l'expéditeur du courrier de faire quelque chose qu'un robot ne sait pas faire (ou ne peut pas faire dans des conditions économiques acceptables pour l'émetteur). On va lui demander de résoudre une énigme, simplissime pour l'humain, impossible pour la machine, raison pour laquelle certains tests de Turing s'appellent "Challenge Message" [5]

S'il y a une réponse satisfaisante, on considère que l'émetteur est réellement un humain, son adresse et placée automatiquement en liste blanche et sa correspondance sortie automatiquement de la quarantaine vers la boîte de réception. Il ne lui sera plus infligé de test de Turing. Dans tous les autres cas (mauvaise réponse ou pas de réponse du tout), l’émetteur n’est probablement pas légitime. Le résultat est immédiat:

  • Soit l'adresse de l'expéditeur du courrier est une véritable adresse mais usurpée (spoofing - habituel dans la méthode de propagation des virus et du spam viral) [13] [14] donc, comme il ne vous à rien envoyé, il ne répond pas à l'énigme posée par le test de Turing et sa correspondance prétendue n’est pas délivrée. L'e-mail reste en quarantaine.

  • Soit l'adresse de l'expéditeur est forgée de toutes pièces donc elle n'existe pas et personne ne répondra jamais à l'énigme. L'e-mail reste en quarantaine.

  • Soit l'adresse est celle d’un robot et elle n'est jamais relevée. On est dans le même cas de figure qu'avec une adresse forgée : elle n'existe pas et personne ne répondra à l'énigme. L'e-mail reste en quarantaine.

  • Soit l'adresse est réelle et correspond au spammeur ou à son commanditaire (l'annonceur publicitaire). Sous l'avalanche d'énigmes à résoudre, il ne peut rien faire. [5].

  • Soit l'adresse est réelle et l'expéditeur est humain – il est mis en liste blanche et sa correspondance vous est transmise dès que le test de Turing est passé.

Services anti-spam utilisant un test de TuringServices anti-spam utilisant un test de TuringServices anti-spam utilisant un test de Turing

Quelques services anti-spam utilisant un test de Turing (Challenge/Response)

Plusieurs produits ou services ci-dessous sont des anti-spam ordinaires (à filtres et à règles) mais ajoutent un test de Turing comme ultime solution lorsque les filtres et règles ne suffisent pas. On rappelle que les anti-spam ordinaires, à filtres et/ou à règles génèrent des faux positifs et des faux négatifs provoquant la disparition de correspondances légitimes et, inverse, la légitimation de spam. Ne pas utiliser d'anti-spam contenant une technologie ordinaire (filtre sur les mots, filtre Bayésien, règles à score, RBL... - utiliser exclusivement un anti-spam à base de test de Turing et n'utilisant aucune autre technologie que le test de Turing.

Classement Langue Service
MailInBlack
Parfait. Test de Turing dur. Aucune règle ni aucun filtre risquant de provoquer des faux positifs ou des faux négatifs. Totalement indépendant de votre client de messagerie et de votre système d'exploitation (et de tout ce qui y est installé y compris antivirus, pare-feu, anti-trojan, contrôleur d'intégrité etc. ...). WebMail pour les nomades. Antivirus intégré. Quarantaine. Pas de situation mutuellement blocante ("deadlock" lorsque 2 interlocuteurs démarrent une protection par Test de Turing simultanément). Gestion des abonnements à des forums ou des listes de discussion. 2 minutes pour installer le service. Entièrement en français. Dispose d'une version Pro pour serveur de messagrie des entreprises et grands comptes, à installer dans la DMZ du réseau.

(Steven)
Bon forum de discussion. Webmail. Antivirus. Quarantaine. mais :
  • Le test de Turing est imbécile. Il suffit de faire un reply à un e-mail, sans rien y changer, un point c'est tout !
  • Compatibilité avec certains produits - Comprendre : incompatibilité avec les autres (et la compatibilité avec certains produits ne s'obtient que dans la version payante en plus de devoir payer Hotmail pour récupérer son courrier - voir http://support.microsoft.com/default.aspx?scid=kb;en-us;327041 ). Faut-il rappeler qu'il n'est jamais souhaitable d'utiliser des adresses e-mail "poubelle" type HotMail).
  • Dépendant des systèmes Windows
  • Dépendant de Microsoft .Net Framework
  • Nombreux problèmes avec les antivirus et les parefeux avoués dans leur FAQ

emailAI
En réalité, nouveau nom dont s'affuble (Steven) - voir (Steven).

BongoSoft
Test de Turing élémentaire

MailBlocks
Une solution américaine, rachetée par AOL, proposant un test de Turing et un nombre limité d'adresses jetables mais qui souffre de plusieurs gros défauts : dépendant d'une liste très réstrictive de navigateurs (Internet Explorer et Safari - on se demande d'ailleurs pourquoi un tel produit est dépendant du navigateur utilisé), dépendant de quelques systèmes d'exploitation, dépendant de quelques clients de messagerie (Outlook, Aple Mail, Eudora et Entourage, c'est tout !), ne supporte aucune solution antivirus. On peut juste en retenir que AOL porte aux nues la technologie Tests de Turing (appelée chez eux Challenge/Response).

Zaep AntiSpam
Test de Turing imbécile. Publicité.

Pas testé
Qurb
Un très mauvais point : limité à OutLook et OutLook Express. D'autre part, il s'agit d'un anti-spam ordinaire (à règles et filtres) disposant d'une option, désactivée par défaut, de test de Turing. Les filtres provoquent de nombreux faux négatifs (courriers légitimes jetés car considérés à tord comme étant du Spam). Comme tous les anti-spam à filtre, éviter ce produit.

Pas testé AppRiver SecureTide

Pas testé Barbedwire Content Filter Softblade

Pas testé Source Authentication Enterprise Edition

Pas testé Source Authentication Small Business Edition

Pas testé Source Authentication Corporate Edition

Pas testé CS Mailsweeper Anti-spam Solution

Pas testé ChoiceMail Enterprise

Pas testé ChoiceMail Small Business

Pas testé ChoiceMail One

Pas testé SpamWatch Service

Pas testé GMS Anti-spam

Pas testé MailWatch Service

Pas testé Kerio MailServer 5

Pas testé MailFrontier Gateway Appliance

Pas testé MindComet Total Control

Pas testé RazorGate Email Security Appliances

Pas testé Mirapoint Message Director

Pas testé NetCleanse Technologies

Pas testé NetIQ MailMarshal SMTP

Pas testé Typhoon ESMTP Server

Pas testé Policy Patrol Spam Filter

Pas testé Sendio ICE Box

Pas testé Global Gateway Service

Pas testé CommuniGate Pro

Pas testé Vanquish Anti-Spam Suite

 Spam Arrest
Se comporte en spammeur, espionne ses clients et la totalité des internautes correspondant avec ses clients. A une charte "Vie privée" particulièrement trouble. A boycotter absolument.

 SpamEnder
C'est une vitrine de tout ce qu'il ne faut pas faire en matière d'utilitaire anti-spam. Complètement imbécile.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre-mesures" Contre mesures "

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

[1] Turing Alan Mathison
Voir la fiche Alan Turing : mathématicien, logicien et informaticien britannique, il fut l'un des fondateurs de l'informatique moderne, avec Von Neumann John et Wiener Norbert.

[2] Alan Turing WebSite
Un site entièrement consacré à Alan Turing
http://www.turing.org.uk/

[3] Prix Loebner
Tentative d'instanciation du Test de Turing, visant ici à déterminer si un interlocuteur (invisible : on lui parle via un clavier et un écran) est un humain ou un robot parlant. Ce prix, créé en 1990, est offert par le docteur Hugh Gene Loebner, docteur de l'Université du Massachussets des USA (en collaboration avec le Cambridge Center for Behavioral Studies).
Site officiel

[4] Alice (A.L.I.C.E.)
A.L.I.C.E. (Artificial Linguistic Internet Computer Entity) est un Bot Parlant (un robot parlant) conçu par Richard Wallace, qui a gagné quelques prix (notamment les Prix Loebner en 2000, 2001 et 2004). Son logiciel est un Logiciel Libre (et Open Source, sous Licence Gnu/GPL, Alicebot et AIML), dont l'essence est faite d'algorithmes de traitements linguistiques mais aussi (et surtout) de connaissances écrites en AIML (format XML). Plusieurs implémentations existent, dans des langages divers (Java, Python, ...), mais toutes lisent les fichiers AIML. Ces fichiers de connaissances sont remplis / adaptés par les Bot Masters, et souvent partagés avant d'être adaptés. Ce qui fait sa force, c'est principalement la somme des connaissances que ces Bots ont accumulé (il y a quelques traitements linguistiques, mais souvent en anglais: Opale est un exemple d'adaptation du programme au français).
Site officiel

[5] Challenge messages (Enigmes - Captcha) et contre-mesures
Que sont les "Challenges messages" ou "Enigmes" ou "Captcha" et comment les spammeurs pourraient développer une contre-meesure à cette contre-mesure.
Challenge messages (Enigmes - Captcha)

[13] La chaîne du spam
La chaîne du spam

[14] Risque de complicité de l'internaute dans l'envoi de spam et la prolifération virale
Votre complicité peut être recherchée à cause de votre laxisme à vous protéger et protéger les autres

[15] Les filtres bayésiens
Les filtres bayésiens

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "