Les CAPTCHAs ont-ils leur raison d’être ?

 

CAPTCHAs, ce sont ces petits bouts de mots qu’il faut remplir dans de nombreux formulaires et forums sur Internet. Leur nom vient de l’anglais et est une abréviation pour “Completely Automated Public Turing tests to tell Computers and Humans Apart”, donc des tests complètement automatisés destinés à distinguer l’homme des machines.

Les CAPTCHAs sont très populaires parmi les sites web très fréquentés et les fournisseurs de services de mail gratuits tels que Google et Yahoo pour déjouer les attaques par mails indésirables.

Les CAPTCHAs fonctionnent si bien qu’aucun ordinateur ne sait quoi faire de ces lettres modifiées alors que nous en tant qu’êtres humains disposant de la vue, les reconnaissons bien. Un CAPTCHA  est donc plutôt le contraire d’un test de Turing, car, à l’inverse, ils montrent la différence entre un ordinateur et un homme (p .ex. le fait de ne pas disposer de la vue).

Avant que les CAPTCHAs ne soient entrés dans la lutte contre les mails indésirables de manière généralisée, les malfaiteurs étaient capables d’enregistrer des milliers de comptes e-mail gratuits d’un seul coup rien qu’en se servant d’un peu d’assistance technique et de quelques lignes de code et puis insérer, en tant que détenteur apparemment légitime d’un compte, des masses de commentaires automatisés avec des contenus indésirables dans des forums ou des blogs.

On pourrait croire que ces pratiques soient tombées en désuétude grâce aux CAPTCHAs apparemment sûres, mais l’habit ne fait pas le moine.

Le filon nommé CAPTCHA

Il y a en fait une industrie clandestine se dédiant au déchiffrement de CAPTCHAs qui n’est pas si clandestine que ça. Les CAPTCHAs sont partout et la demande croissante de les contourner de la manière la plus efficace possible a donné lieu à la naissance de prestataires de services qui apparaissent comme de mauvaises herbes.

Une étude de l’Université de Californie à San Diego a mis en évidence les conséquences économiques de ce phénomène. La publication intitulé “Re: CAPTCHAs — Understanding CAPTCHA-Solving Services in an Economic Context“, en français : “La réponse aux CAPTCHAs, le contexte économique des prestataires de services se dédiant au déchiffrement des CAPTCHAs” est une bonne lecture pour tous ceux qui désirent aborder plus profondément la question des courses aux armements informatique de l’industrie de sécurité.

Bien que les pirates informatiques se servent de logiciels de reconnaissance optique de caractères (ROC) qui arrivent très bien à imiter l’œil humain, on préfère toujours et encore selon les résultats de l’étude, le bon vieux travail manuel: La main-d’œuvre du tiers monde semble toujours et encore plus économique (même si elle est encore moins défendable d’un point de vue éthique…).

Pourquoi la reconnaissance optique de caractères ne marche pas (si bien)

La création de logiciels capables de reconnaître les CAPTCHAs aussi bien que l’œil humain est une entreprise énorme. Et ceci non seulement parce qu’il faut des programmeurs hautement qualifiés, mais également car ces mêmes programmeurs doivent consacrer énormément de temps à la création d’un logiciel dont le seul but consiste à propager des contenus indésirables. Ces personnes existent, mais il devrait être beaucoup plus difficile de les trouver que des citoyens appauvris du tiers monde disposés à travailler pour quelques dollars par jour.

Le déchiffrement d’un CAPTCHAs basé sur un texte est un peu comme tenter de toucher une cible qui bouge et forme une partie centrale de la sécurité informatique : Une fois qu’un problème a été résolu, il y a un autre problème inattendu qui surgit. Pour ce qui est des malwares, ce sont normalement malheureusement les scélérats qui sont en position de force, car de nouvelles menaces requièrent de nouveaux mécanismes de protection. (C’est d’ailleurs la raison pour laquelle Emsisoft a développé l’analyse de comportement.) Pour ce qui est des CAPTCHAs, les rôles sont inversés : Une fois qu’il y a un mécanisme efficace pour déchiffrer les CAPTCHAs basés sur texte, les fournisseurs de CAPTCHAs s’en rendent compte et modifient tout simplement les algorithmes de base pour la création de CAPTCHAs. Ceci rend malheureusement également la nouvelle reconnaissance de caractères inutile.

Ce qui est intéressant, c’est que la plus grande entreprise du secteur, reCAPTCHA, a  déjà été reprise par Google en 2009. reCAPTCHA s’appuie sur une combinaison de texte imprimé et la manipulation de l’image de manière diverse, ce qui ne permet, dans la plupart des cas, qu’à l’œil humain de déchiffrer les phrases comprises d’habitude par une partie ou deux.

Au fil des dernières années, de nombreux logiciels de reconnaissance de caractères ont prétendu pouvoir reconnaître également les CAPTCHAs de reCAPTCHA. Un des logiciels les plus connus de la liste est fourni en pack avec un logiciel destiné à l’optimisation des moteurs de recherches nommé XRumer. Au mois d’octobre 2013, il y a d’ailleurs eu des rumeurs disant qu’un logiciel de reconnaissance de caractères proposé par l’entreprise Vicarious était capable de résoudre 90% des CAPTCHAs de reCAPTCHA. Alors que le premier logiciel ne vise qu’à générer des revenus rapides de moindre dimension, ce dernier est le produit d’efforts compréhensibles de chercheurs travaillant dans le secteur de l’intelligence artificielle, qui, néammoins, ne fonctionnent pas de manière aussi fiable que  l’homme.

Plan B : 1000 CAPTCHAs pour 1 dollar

Aujourd’hui, il y un bon nombre d’entreprises qui n’existent et n’ont comme seul but de craquer des CAPTCHAs pour des spammeurs débutants. À cette fin, ils se servent d’une armée de travailleurs du tiers monde, dont la plupart sont des hommes appauvris qui aiment être assis devant un ordinateur et passent leurs jours de travail de 8 heures à résoudre manuellement des CAPTCHAs.

Dans la liste des plus grandes entreprises, on trouve entre autres :

  • Antigate.cm
  • BypassCaptcha.cm
  • Captchabot.cm
  • Deathbycaptcha.cm

À part cela, il y a bien sûr des prestataires de services qui ont pour but de recruter du personnel pour les entreprises mentionnées auparavant. Une des entreprises les plus connues : KolotiBablo.cm (Russie).

Tandis que l’éthique dans tout ceci semble très vasouillarde, la rentabilité, elle, est évidente. Pourquoi payer pour une technologie chère s’il est possible d’avoir de meilleurs résultats en n’ayant qu’une fraction des coûts ? C’est comme ça que marche le monde et nombreuses sont les entreprises exploitrices mentionnées auparavant qui n’hésitent pas à se défendre contre toute critique. Un argument souvent mis en avant est celui-ci : 2-3 $ par jour suffisent pour nourrir la plupart des craqueurs de CAPTCHAs ainsi que leurs familles. C’est peut-être vrai, mais détourne l’attention sur la nature beaucoup plus négative et robotique et très sale de ce travail : il ne sert qu’à enrichir les spammeurs du premier monde.

Une autre alternative : Bots CAPTCHA

Il est également possible de craquer un CAPTCHA à l’aide des botnets, mais comme la reconnaissance de caractères, les botnets CAPTCHA sont peu rentables. L’idée d’un botnet CAPTCHA est simple : un grand nombre d’ordinateurs sont censés résoudre les CAPTCHAs d’un serveur Command & Control. On s’en est rendu compte avec le ver Koobface qui s’est diffusé  en 2009 à travers divers sites web des médias sociaux.  Koobface s’est propagé en plaçant des liens malicieux sur des sites web depuis lesquels le ver a été téléchargé et est passé inaperçu dans des messages laissés sur des murs. Pour cela des comptes falsifiés sur ces plate-formes étaient nécessaires et afin de créer un tel compte falsifié, il fallait tout d’abord résoudre un CAPTCHA.

Au lieu d’externaliser ces travaux à Captchabot ou Antigate, les auteurs de Koobface  ont décidés de résoudre le problème eux-mêmes et d’intégrer un botnet pour craquer les CAPTCHAs. Lors d’une infection, des ordinateurs zombies ont, de façon répétée, demandé des CAPTCHAs de serveurs Command & Control. Le serveur a ensuite envoyé un CAPTCHA, déguisé en demande de sécurité de Windows, munie d’un compte à rebours pour arrêter l’ordinateur. Les utilisateurs affectés ont enfin été forcés à fournir la solution correcte rapidement, ce qui a encore une fois entraîné la création de nouveaux comptes d’utilisateur et la propagation continue du ver.

 

Les CAPTCHAs ont-ils leur raison d’être ?

Les CAPTCHAs ont à l’origine été créés pour permettre un test de Turing inversé. L’efficacité s’en traduit par le fait que les spammeurs préfèrent se servir d’hommes que d’ ordinateurs pour les résoudre.

Malheureusement, les CAPTCHAs ne sont pas si utiles pour lutter contre les mails indésirables et encore moins faciles à manier, mais représentent plutôt une barrière financière. Selon des enquêtes effectuées par l’UCSD, la demande de solutions pour les CAPTCHAs  était si grande en 2010 que chacun, muni d’un budget de seulement 1000 $, a pu faire résoudre environ 1 million de CAPTCHAs en seulement 6,75 heures. Ceci équivaut au nombre incroyable de 41 CAPTCHAs par seconde ! En 2014, les prix et les temps de livraison continueront à diminuer tant qu’une barrière économique insurmontable en termes de travail manuel ne sera pas dépassée.

En tout cas, un CAPTCHA ne représente qu’un petit frais d’exploitation pour un spammeur débutant, alors que, d’autre part, ils fournissent aux personnes appauvries travaillant dans ces entreprises numériques exploitrices le fondement de leur vie. Entre ces deux extrêmes, nous voilà : l’internaute lambda pour qui les bouts de mots déformés ne représentent qu’une entrave ennuyeuse à notre passage sur Internet.

Bonne navigation (sans malware) à vous !