Les systèmes de CAPTCHA de plus en plus déjoués

illustration2008070701.jpgSi je vous parle de CAPTCHA, je ne suis pas en train de retomber en enfance alors que je m’amusais à enquiquiner mes voisins de Cap-Chat (Sainte-Anne-des-Monts) en les traitant très méchamment de « Cap-Chattes ». Je vous parle plutôt d’une situation qui, à mon humble avis, est en train de dégénérer. Comme vous le savez sans doute, CAPTCHA qui signifie « Completely Automated Public Turing test to tell Computers and Humans Apart », est un concept de sécurité informatique qui, comme son rendu anglo-phonétique l’indique (CAPTCHA = Cap tcha = capture), consiste à lire une image où sont représentées, de façon non standard, des lettres que l’on doit déchiffrer (capturer) et retaper, question de démontrer au site Web qui utilise cette techno que l’on n’est pas une machine de pollupostage, mais un humain en bonne et due forme.

illustration2008070702.jpgL’idée est simple. Une machine utilisant un système de reconnaissance optique de caractères (OCR) n’arrivera que rarement à déchiffrer un jeu de lettres comme on voit ici à droite. L’avantage : les forums, les groupes Yahoo, Paypal, les blogues, etc., se retrouvent à l’abri des robots voulant promouvoir des sites d’arnaque ou de porno. L’inconvénient : les internautes éprouvant des problèmes de vision en arrachent; certains n’arrivent jamais à se connecter.

illustration2008070706.jpgOr, c’est connu, tout finit toujours par être craqué. Ainsi, l’année 2007-08 sera celle où des geeks et, bien entendu, groupes criminels (au cœur de celui des polluposteurs), auront probablement réussi à rire de la CAPTCHA, une techno lancée, à l’état primitif, par AltaVista en 1997. Avec des logiciels OCR de plus en plus ratoureux, ils ont démontré, dès février dernier, qu’ils avaient pu décoder les CAPTCHA de Microsoft Live Mail une fois sur trois et ceux de GMAIL, une fois sur cinq. Même qu’une équipe de l’Université britannique Newcastle obtenait récemment un taux de succès de 90 % en ridiculisant le CAPTCHA de Microsoft. Pire, la semaine dernière l’expert en sécurité Dancho Danchev faisait état d’un réseau organisé qui revendait aux polluposteurs des adresses Gmail, Yahoo et Hotmail ainsi obtenues. Bref, au train où vont les choses, on s’attend à ce que plus personne ne prenne au sérieux l’état actuel de cette techno dès l’an prochain.

illustration2008070703.jpgL’alternative est en gestation. On parle de CAPTCHA avec reconnaissance d’image et, même, de CAPTCHA 3-D. Une application déjà utilisée. Par exemple, on placera une dizaine de lettres stylisées et l’internaute devra retaper celles où, dans la fioriture graphique, apparaîtra, par exemple, un chat. Ou encore, on placera quatre photos de tigre dans un jeu de douze images et il faudra indiquer où se trouve le gros minou. Mes favoris sont cependant ces CAPTCHA plus évolués où on doit se casser la tête (juste un peu). Ce sera un gif animé qui nous demandera de résoudre une opération arithmétique fort simple ou un jeu de photos où on devra choisir dans une liste de mots, celui représentant ce que les photos ont en commun. Et il y en a d’autres.

Comme il se doit, elles finiront pas être mise en place, partout, partout et partout. Puis, elles seront à leur tour craquées. Et des universitaires trouveront de nouvelles méthodes. Qui seront appliquées. Et bafouées. Belote, rebelote et dix de der ! Prenez Technaute.ca. À cause d’abuseurs, les autorités en ont rendu l’usage participatif plus difficile. Mais le système en place peut être déjoué; il ne faut pas un PhD en informatique pour y arriver. Donc, il le sera. Il faudra alors renforcer les mesures de sécurité. Ad nauseam !

illustration2008070704.jpgTout cela me laisse bien songeur. Le pourriel est probablement la facette de l’industrie des TI qui se porte le mieux, où l’essor est le plus spectaculaire. On y siffle en travaillant dans la plus grande des félicités. Et on n’aurait encore rien vu. Tout ce qu’on met en place pour le contrer se retrouve déjoué. En 2008, sa masse mondiale dépasserait les 95 % de tout ce qui circule comme courriel. Hum !

Qu’en pensez-vous ? Croyez-vous que la fréquentation active (par opposition à passive) d’adresses du Net va devenir de plus en plus compliquée ? Croyez-vous, qu’un jour qui n’est peut-être pas si loin, vous comme moi, un bon matin, nous allons tout arracher nos bouts de fils et de câbles, nous allons tout jeter dans le bac de recyclage et nous allons tâcher d’apprendre à vivre sans Internet ? Ou croyez-vous plutôt qu’avec le temps, de fil en aiguille, nous allons sans trop nous en rendre compte, accepter tous ces resserrements de sécurité, voire d’atteintes acceptées à notre vie privée ?

Publicités

26 réflexions sur “Les systèmes de CAPTCHA de plus en plus déjoués

  1. Le problème avec les polluposteurs, c’est que les gens achètent leurs trucs. Si la « business » était vraiment mauvaise, les arnaqueurs auraient trouvé un autre moyen plus simple. S’ils s’efforcent autant de nous polluer, c’est que bien des gens succombent encore à leur charme.

    Et si la solution était la concientisation de la masse plutôt que des pirouettes techniques? Où encore de meilleurs recours juriques pour que les floués se revenge?…

  2. Cela m’étonne. Si les jeux d’algorithmes de CAPTCHA sont le moindrement variés, il est difficile de contourner systématiquement la sécurité d’un site. À la rigueur, un « robot » peut s’essayer plusieurs fois, jusqu’à ce qu’il tombe sur une image moins difficile à « deviner ». Par exemple, les robots ont beaucoup de difficulté quand les caractères sont « éclatés » en nuages de points ou en formes géométriques au look « Picasso ».

    Des caractères simplement déformés ou barbouillés, ce n’est pas suffisant. Un peu d’imagination et de rigueur ne serait pas de trop, chers programmeurs! J’ai pour ma part implanté des CAPTCHA simples mais rigoureux sur deux sites Web et ils n’ont jamais été contournés.

  3. On va finir par s’habituer comme on s’habitue à prendre l’avion. Il faut trois heures d’attente pré-vol pour faire une heure de vol. Et on ne se révolte pas.

    Il y a sur Internet des gens dont la mission semble être d’embêter tout le monde. Comme Internet est mondial, leur terrain de jeu est immense et ils en retirent sans doute un très grand plaisir. C’est du sadisme extrême, à la sauce moderne.

    Et que peut-on faire ?. Pas grand chose. On peut dire qu’on n’a qu’à se débrancher, mais est-ce vraiment possible? Il y a moins de quinze ans, il fallait chercher pour trouver à se brancher. On est rendu au point qu’il est de plus en plus difficile de traiter quelqu’affaire sans être branché. Alors, les sadiques en profitent et polluent notre environnement technologique. Désolant!!!

  4. Ça va peut-être vous sembler simpliste, mais il est tout à fait normal (et même préférable!) que ce type de systèmes soient déjoués par les «hackers». C’est une assez bonne façon de s’apercevoir des faiblesses de notre outil (que l’on a créé ou que l’on utilise) et de faire en sorte d’être encore plus vigilant. Le mal existe pour que l’on s’aperçoive que le bien est… Bon! Comme je vous dis, c’est un peu simpliste. Par contre, ça me semble tout aussi réaliste.

    Un resserrement de la sécurité, vous dites? C’est inévitable, je crois.

    Le marsou-inquiet («full» double-sens!)

  5. Pour le pourriel c’est une question d’éducation. Je n’arrive pas à comprendre que certaines personnes puissent envoyer de l’argent suite à une offre plubicitaire me vantant l’achat de logiciel au prix ridiculement bas, pour augmenter nos attribus sexuel, devenir riche ou pour maigrir (perso je fais 6′ et pèsent 145 lbl)… S’il a personne qui répond, il n’a pas de pourriel. En plus le système est tellement simple, on envoie un max de courriel, il va avoir un idiot qui va répondre.

    Le plus bizarre, c’est que je crois pas que la même personne qui a répondu à l’offre du pourriel donnerait son argent à colporteur passé chez lui pour une offre semblable. Si vous avez une idée d’explication, donnez-là?

    Remi.Net

  6. La lecture des images captchas est maintenant « outsourcé » vers des pays où on paye des gens quelques sous de l’heure pour les lire.

    Alors la solution toute technologique me semble de plus en plus en problèmatique.

    Je pense que ça fonctionne comme ceci:

    1) On ouvre un compte
    2) On isole l’image du captcha
    3) On transmet l’image à une « personne » quelque part sur la planète.
    4) La personne lit le code
    5) Elle retourne le code
    4) On entre le code lu

    C’est pas gratuit mais en Russie certains ont trouvé une façon de faire un « modèle d’affaire » basé sur ce système.

    Si je retrouve la référence je vais la mettre.

  7. @ M. Nelson Dumais sur Technaute.

    J’ai visité un peu le site Technaute ce week-end et j’ai trouvé une video expliquant le truc des cellulaires faisant éclater du pop corn. On suggère, sans aucun caveat, d’installer le magnétron d’un four à micro-ondes sous la table.

    Ça ne me semble pas une très bonne idée. Si l’expérimentateur souffre, par exemple, de cataractes quelques années plus tard, il ne faudrait pas qu’il se mande pourquoi.

    Je ne sais pas qui a mis cette vidéo-là en ligne, mais je pense qu’elle devrait être retirée ou être accompagnée d’une mise en garde.

    Le forum a l’air bien tranquille. On suggère de discuter de problèmes informatiques. Je suppose que pas grand monde a des problèmes. Est-il possible de discuterer de nouvelles informatiques aussi?

  8. « @ M. Nelson Dumais sur Technaute.

    J’ai visité un peu le site Technaute ce week-end et j’ai trouvé une video expliquant le truc des cellulaires faisant éclater du pop corn. On suggère, sans aucun caveat, d’installer le magnétron d’un four à micro-ondes sous la table.

    Ça ne me semble pas une très bonne idée. » – Gilles38

    ===

    Je doute qu’un magnétron sous la table ferait popper le popcorn aussi rapidement. Et comme vous dites faudrait être cinglé pour faire ça.

    Je pencherais plus pour une altération de la vidéo.

  9. Les captchas sont eux-mêmes un problème. Il est parfois impossible de les lire!

    Quant aux pourriels, j’en reois moins d’un par mois et pourtant mon serveur de courriel gère au-delà de 2 Mo de courrier par jour (je suis abonné à quelques listes à fort débit). En fait, je suis un peu dépité de ne pas recevoir plus d’invitation à faire fortune en aidant les nombreux orphelins nigégians en quête d’un contact pour transférer leur argent dans un pays industrialisé. 🙂

    Mon secret: je ne donne ma vraie adresse de courriel qu’aux gens que je contacte personnellement et je me protège. GMail fait un bon travail (je m’inscrit à tous les sites avec une adresse jetable) et pour le reste, SpanAssassin veille au grain.

  10. Autre parenthèse à propos du popcorn,

    Hypothèse:

    On a chauffé le maïs à la température juste avant qu’il n’éclate. Et ensuite sur la table ça ne prend qu’une faible chaleur pour le faire exploser.

  11. @Gilles38

    On pourrait peut-être leur suggérer une alternative? Par exemple, il s’agit de mettre une pastille d’uranium enrichie sous la table… Qui plus est, ça va même fourmir de l’éclairage!! Et sans que ça ne coûte un sous d’électricité!!

    On arrête pas le progrès…

  12. J’la connaissais pas celle-là; CAPTCHA ! Mais le système oui. Et c’est bien certain que tout système de sécurité finit par être cracké. L’imagination humaine dans ce domaine est inépuisable . Ce qui retient plus mon attention est le pourriel.

    Facile de dire qu’il faut être prudent, ne pas inscrire son adresse sur son site ou dans des forums, ne pas répondre aux annonces de V1agRa et mettre du filtre solaire pour jardiner. Mais ça ne règle rien pour 95% des utilisateurs

    J’aimerais VRAIMENT comprendre les raisons qui empêchent de « planter » ces pollueurs :
    On ne peut les localiser précisément ? On ne peut poursuivre ceux hors pays ? Aussitôt fermés ils apparaissent ailleurs (comme la génération spontanée dans le frigo…) ? La faiblesse est où ? FAI, gouvernement, utilisateurs… ? Qui sont les mieux placés pour être effectifs ? Comment des crétins dont le seul exploit semble-t-il, est d’écrire viagra de 127 façons différentes, peuvent-ils rester en affaire ?

    J’ai souvenance d’une dénonciation qu’il y eut sur ce respecté blogue. Certains ont lancé une campagne pour surcharger le serveur des fatiguants, si je me rappelle bien il y eut des effets collatéraux. Pour des gens de bonne foi de l’entreprise visée et pour certains du côté des attaquants.

    Y a-t-il du monde qui lance de telles attaques envers ceux qui nous font ch… suer ?

    Et le plus important; les Mets Chinois ! J’imagine que tu te foutais AUSSI de la gueule des habitants des Méchins…

    Et que c’est méchins les enfants ! (Mon dieu, je pense que les calembours du dauphin sont contagieux….)

  13. J’ai tappé un Captcha animé il y a deux mois, assez cool. On peut trouver ces Captchat en Php facilement intégrables sur un forum de discussion. Pour ma part, on a implémenté sur des forums multiples des captchat CGI très simple à lire, depuis, plus de polluposters, ça sera à refaire bientôt mais bon, ça tient le coup maintenant.

  14. Il me semble que je n’ai pas de problèmes majeurs avec les pourriels, les virus etc…

    AVG a détecté un virus en trois ans.
    En un an j’ai plus ou moins une centaine de courriels indésirables et la plupart ont comme origine des sites que j’ai visité et que je ne désire plus recevoir. Très peu de viagra. Quelques fois seulement j’ai reçu une demande d’argent de « nigériens » ou autre genre de cet acabit.
    Il serait bon qu’on fasse une statistique parmi les utilisateurs de ce blog pour connaître la fréquence réelle de l’arrivée d’indésirables.

    Est-ce que mon FAI filtre ces cas à la perfection?
    Est-ce que je ne fréquente que des sites purs?
    Est-ce que je commence à être Alzeimer?

    Pour résumer, pour moi, ce n’est pas un problème!

  15. Le meilleur filtre anti-pourriel ne serait-il pas une option de notre compte mail qui nous permet de laisser passer seulement les adresses désirées au lieu d’essayer de bloquer les milliers de pourris ?

    Ça serait aussi merveilleux avec les numéros de téléphone !

    http://la-tache.blogspot.com/

  16. Moi j’ai qque chose à vous dire Nelson Dumais, et c’est deux choses:

    1- j’fais des enquêtes sur le spam et j’aime définitivement ça venir faire un tour dans votre chronique parce qu’en général, je les trouve trop bonnes! J’me dis toujours: ça, ça n’en prend plusse. Et pourquoi? Pas juste pour faire semblant d’aimer ça, non monsieur! Non. Voici pourquoi? Car votre chronique sur un sujet, reste une chronique qui ne porte pas sur le sujet mais le sujet, son ensemble et son background!

    2- j’ai oublié! Justement. La mémoire. Moi je me demande: jusqu’à combien de Go Gmail va monter? Le mien est gigantesque. Trop. Pas besoin de tout ça. Quand au spam, je sais pas mais moi j’ai flushé tout mes amis pour cause de spammerie. Ça se reflète ailleurs aussi, pas dans le général! C’est ça que j’aime avec vous. Mais c’est complètement vrai ce que vous disez là! J’ai une grande expérience de l’internet et des réseau câblés (aussi bien terrestres que aériens que extra-terrestres) et je puis vous dire la chose suivante: c’est vraiment une question de cube et de dimensions! Ces programme là, en bout de ligne, me tappent sur les nerfs à l’os! Quand tout serait si simple à régler plutôt que de voir ces deux là (hacker et anti-hacker) se chamailler à longueur.. tsé! Et voici la solution logicielle toute simple pour contrer 100% du spam. Je demande un doctora honoris causa à l’université pour ça. Alors voici:

    if message entrant = pas dans adresse connue autorisée, retourner un courriel questionnaire bounce back erreur. Avec une portion humaine lisible qu’un ordinateur pourrait reconnaître (et ça lui serverait à rien pantoute, voir la suite de mon système révolutionnaire!) et avec une portion bounce back donc.

    Alors c’est pas compliqué!

    Le récipiendaire du message bounce back aurait juste à répondre à une question. Y’aurait deux types! Les deux configurées par l’utilisateur du logiciel de courriel. Alors moi j’en poserait deux, la première pour classifier dans les courriers de ceux que j’ai sûrement autorisé. Exemple: je rencontre Nelson Dumais et lui donne mon adresse et avec à côté le code: ‘patate 13’. Alors il m’écrit. Si il répond pas ‘patate 13’ mon programme le flush car c’est tellement drôle comme code que si il s’en souvient plus c’est qu’il a été avalé par les extra-terrestres et donc n’est plus de ce monde! Donc il a peut-être été remplacé par un robot et est devenu un mythe! Mais s’il répond ‘patate 13’ à moins que le reste de la conversation aie été interceptée par un robot hyper intelligent, pas de doute.. c’est Nelson Dumais! Comment un robot spammeur en Tanzanie pourrait donner le mot de passe ‘patate 13’ hein? Ou ‘patate 868’? Hein? Ya juste à se mettre d’accord sur un mot simple de code comme par exemple, attendez un peu.. j’ouvre le dictionnaire pour trouver un mot rigolo (…) ahhh criss je trouve pas.. faque on va prendre ‘iniminimanémo’ facile, toute des ‘i’ avec un seul ‘e’ dedans. J’ai plein de trucs comme ça!!! Bonne chance pour le robot en Tanzanie! Justement. Parlant de Tanzanie (je suis un peu une super star en Tanzanie) l’histoire c’est que si mettons je devais recevoir un courriel d’admirateur, comment je le saurai? Ou alors de quelqu’un qui me connaît mais sans connaître mon inimini-manémo?

    Facile. Ya la couleur. Bon. Blanc et noir, c’est un peu couper la poire en deux. Il y a un milliard de milliard de façons, encore, de filtrer.
    Mettons que je veuille juste parler à des amis qui aiment mon goût pour la musique. Mettons que j’en parle à tout le monde. Mettons que paf, j’insiste sur un détail. Bon ben je choisis ce détail là pour mon email! Exemple, mettons que je trippe tondeuse, tsé? Genre moi mon oncle y’aime les tondeuses. Faque si la question qu’il me renvoit c’est ‘salut, j’aime tu les scies sauteuses, les moteurs hors bords, les tondeuses, ou les chevaux?’

    Tsé!!!! Si lui à chaque fois j’passe le voir il gosse sur sa tondeuse pis qu’yé pas à job pis qu’y parle d’inventer une nouvelle tondeuse, j’vas répondre quoi? Un ch’val peut-être?

    Faque tu vois le genre. Ce nouveau système de filtre giga-révolutionnaire permet de, automatiquement, redonner le rênes du cheval du courrier électronique à l’utilisateur spammé! Un taux de succès proche du 100% à date!

  17. C’est pas grave , il n’y a rien de parfait , c’est comme ça dans la vie , L’argent le sexe et la religion çà fout le bordel partout ou il y a de la vie . Et je pense que la majorité des pourriels sont issue de gens sans scrupule
    Je suis persuader que si les FAI et les serveur de mail du type Gmail
    Y mettais les $ ils pourrais stopper la majorités des pourriels .
    Mais la encore c’est L’argent qui décide.Car pour l’instant ça coûte moins cher de les endurer que de les combattre comme ils le devraient

  18. les bots de spammers qui decodent les capchat , mais la question ils decodent des capchat a partir d’un dictionnaire d’image ou avec de la reconnaissance graphique de pseudo caracteres ? si c’est le premiers cas , ce nest pas un probleme , il suffit de varier rapidement et massivement la bibliotheque d’image , eventuellement ca deviendra trop important pour la creation a la mano des dictionaires , si c;est le deuxieme cas , bravo aux codeurs , la ca deviens une avancee techno dans la reconnaissance de patern et l’analyse statistique . faut pas oublier le probleme de base , smtp (simple mail trafer protocol ) est une techno des annees 60 qui n’est ni authentifie ni authorisee , pas pour rien que tous mes mail issues de ma boite « professionelle » sont signes avec une cle assymetrique , ce qui fait que je ne spam personne , tout mail venant de moi et n’etant pas signe peut etre detruit

  19. @re3e
    En fait, ce sont des algos d’OCR (Optical character recognition). Ils sont complexes pour toute personne qui n’a pas étudié dans le domaine du traitement d’images. Même dans le domaine du traitement d’images, c’est un sujet spécifique.
    Une des bonnes solution serait d’afficher une image et de dire c’est quoi avec un choix de réponse. Par exemple indiquer si l’image est un chien ou un chat. Aucun algorithme n’est encore capable de faire une tel différence.

  20. Je suis beaucoup plus dérangé personnellement pas les spammeurs qui envoient du spam sous mon identité…

    Ça c’est révoltant… ça m’a même banni de certains serveurs…

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s