Accueil > SPIP > Sécurité > Pour ou contre les CAPTCHA ?
CAPTCHA : Completely Automated Public Turing test to Tell Computers and Humans Apart
Pour ou contre les CAPTCHA ?
Test public de Turing complètement automatique ayant pour but de différencier les humains des ordinateurs
lundi 25 juillet 2016, par
Notez cet article- Notre problématique
- Information sur les CAPTCHA
- À propos du nom
- Applications
- Accessibilité
- Contournement
- Captcha cracking -1-
- Captcha cracking -2-
- Captcha cracking -3- Les (...)
- Captcha cracking -4-
- Alternatives au Captcha
- Captcha et anti-spam pour (...)
- Captcha pour LimeSurvey
- Description et problématiques
Cet article est une copie de l’article :
- Pour ou contre les CAPTCHA ?
lundi 12 avril 2010
par François Daniel Giezendanner
http://icp.ge.ch/sem/cms-spip/spip.php?article1028
Dernière mise à jour : jeudi 27 juin 2013
Notre problématique
Les captcha sont décriés pour leur non conformité du point de vue accessibilité.
Certes, mais quoi qu’on en dise concernant leur efficacité ou leur manque d’efficacité, ils sont tout de même bien utiles pour éviter un certain nombre d’attaques de spammeurs.
Le plugin captcha pour SPIP se révélait très utile/efficace avec SPIP 1.9.x. Nous regrettons qu’à ce jour il n’ait pas été adapté pour SPIP 2.0.x et SPIP 2.1.
La réflexion est ouverte sur le Web quant à la pertinence d’utiliser les Captcha, on lira avec profit les excellents articles du W3C « L’inaccessibilité des CAPTCHA » et de Wikipédia « Captcha », ainsi que divers dialogues comme par exemple ici :
- Extrait du forum de l’article « Balise #CAPTCHA » de Bernard Blazin
- Forum : Liste de commentaires 1
et là :
- Extrait du forum de l’article « Balise #CAPTCHA » de Bernard Blazin
- Forum : Liste de commentaires 2
Dans l’un de ses messages, Cédric Morin (CM) déclare :
Au sujet des CAPTCHA, et en ce qui me concerne, le débat est clos depuis longtemps : c’est une réponse d’informaticien à un problème d’informaticien, au seul détriment des utilisateurs.
Autrement dit parce que les développeurs versent dans la facilité et n’ont aucune envie de se compliquer la vie, ils reportent le problème et ses inconvénients sur les utilisateurs.Donc c’est une très bonne solution pour arriver à se débarrasser des utilisateurs en même temps que du SPAM, les-dits utilisateurs migrant au long terme vers des sites où ils sont mieux considérés.
Le nivellement pas le bas n’est pas une option défendable à mon sens.
Chacun jugera l’intérêt du Captcha en fonction de son analyse et de son expérience, le fait est qu’il est loin d’être une technologie obsolète au vu des nombreux sites, et pas des moindres, qui l’utilisent intensivement.
et je vous invite à la lecture de quelques autres articles intéressant qui traitent du sujet.
Aujourd’hui jeudi 27 juin 2013 nous faisons un appel à la communauté SPIP pour mettre à jour ses plugins Captcha :
Information sur les CAPTCHA
Selon Wikipédia :
Un captcha est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d’un ordinateur.
Parce que le test est réalisé par un ordinateur, en opposition avec les tests de Turing standard réalisés par des humains, un captcha est souvent décrit comme un test de Turing inversé. Ce terme est néanmoins ambigu parce qu’il pourrait aussi signifier que les participants essaient de prouver qu’ils sont des ordinateurs.
À propos du nom
« Captcha » est un rétro-acronyme : le mot se prononce comme capture en anglais et est censé être composé des initiales de :
« Completely Automated Public Turing test to Tell Computers and Humans Apart »
soit en français :
« Test public de Turing complètement automatique ayant pour but de différencier les humains des ordinateurs ».
Ce terme, qui est une marque déposée par l’université Carnegie Mellon, a été inventé en 2000 par Luis von Ahn, Manuel Blum et Nicholas J. Hopper de cette université, et par John Langford d’IBM. Le nom « captcha » peut également être interprété comme « Catcha » ou « Gotcha », qui signifient « Je t’ai eu ».
Applications
Ce test est utilisé sur Internet dans les formulaires pour se prémunir contre les soumissions automatisées et intensives réalisées par des robots malveillants.
La vérification utilise la capacité d’analyse d’image ou de son de l’être humain. Un captcha usuel requiert ainsi que l’utilisateur tape les lettres et les chiffres visibles sur une image distordue qui apparait à l’écran. Certains sites Web préfèrent afficher une image qui contient une question mathématique.
Ils sont utilisés :
- contre le spam :
- lors de l’inscription à des webmails gratuits (dont les comptes pourraient être utilisés par la suite pour l’envoi de courriers non sollicités),
- lors de la soumission de messages dans des forums de discussion et des blogs (qui pourraient permettre de faire du spamdexing), etc. ;
- contre l’extraction automatisée de bases de données ;
- contre les tentatives d’attaque par force brute ;
- pour la participation à des sondages (dont les résultats pourraient être faussés par des votes automatisés).
Accessibilité
...Pour les personnes déficientes visuelles (comme les utilisateurs aveugles ou ayant des difficultés à la perception des couleurs), les captcha visuels présentent de sérieuses difficultés. Du fait que les captcha sont conçus pour ne pas être lus par les machines, les outils courants d’aide comme les lecteurs d’écran ne peuvent pas les interpréter ... Dans certaines juridictions, les propriétaires de sites peuvent devenir la cible de litiges s’ils utilisent des captcha qui discriminent les gens ayant certains handicaps...
Même pour des personnes parfaitement voyantes, les nouvelles générations de captcha, conçues pour résister aux logiciels sophistiqués de reconnaissance, peuvent devenir pratiquement impossibles à lire.
Un rapport du W3C a souligné l’inaccessibilité de certains tests visuels anti-robots.
Contournement
Il y a plusieurs approches pour mettre en échec un captcha :
- utiliser une main-d’œuvre humaine pour les reconnaître ;
- exploiter les bogues dans les implémentations qui permettent à l’attaquant de passer complètement outre le captcha ;
- améliorer les logiciels de reconnaissance de caractères.
Captcha cracking -1-
Depuis quelques bannés les captchas sont devenus vulnérables. Les articles ci-dessous en donnent une petite illustration :
- CAPTCHA is an annoying little test you run into at the end of making an account. It keeps robots and people who can’t read spin-art twisted words from making an account.
http://www.cracked.com/funny-3168-captcha/
- Breaking a Visual CAPTCHA
Greg Mori(1,2) and Jitendra Malik (1), (1) UC Berkeley Computer Vision Group, (2) Simon Fraser University
http://www.cs.sfu.ca/ mori/research/gimpy/
- La mort des CAPTCHA : Comment les pirates arrivent-ils à les casser ?
Auteur : Nicolas Kerschenbaum, consultant sécurité XMCO, Couriel : Nicolas.Kerschenbaum@xmco.fr, Date : 20/06/2008
http://www.xmco.fr/article-captcha.html
Version complète en PDF : Actusécu n°19
- Pourquoi les captchas basés sur les questions, les calculs ne sont pas fiables ?
Ecrit par admin le Dimanche 30 décembre 2007 à 19:42 - Catégorie Captchas,Outils de spam
http://www.seoblackout.com/2007/12/30/failles-captchas-questions-calculs/
- Bypass Captcha : petit tour d’horizon des techniques pour contourner les captchas
Ecrit par admin le Mardi 25 décembre 2007 à 19:38 - Catégorie Captchas,Outils de spam,Sécurité Internet et SEO
http://www.seoblackout.com/2007/12/25/bypass-captcha-contourner-captchas/
- Captcha cracking in JavaScript with Canvas and neural nets
Saturday, January 24th, 2009
http://ajaxian.com/archives/captcha-cracking-in-javascript-with-canvas-and-neural-nets
Captcha cracking -2-
- Decoding CAPTCHA’s
http://www.wausita.com/captcha/
- Google Street View : Les captchas nouvelle génération !
Romain 30/03/2012 14:15
http://www.weblife.fr/actus/google-street-view-les-captchas-nouvelle-generation
- Comment décoder les captchas hash md5 avec ZennoPoster
17 mars 2012 By LeMoussel
http://www.seoblack-inside.com/comment-decoder-captchas-md5-zennoposter/
- Le captcha de Yahoo cassé par un malware
Edition du 06/02/2012 - par Jean Elyan avec IDG News Service
Des chercheurs ont découvert un moteur logiciel malveillant qui semble avoir la capacité de briser, au bout de quelques essais seulement, la sécurité Captcha utilisée par le service de messagerie de Yahoo.
http://www.reseaux-telecoms.net/actualites/lire-le-captcha-de-yahoo-casse-par-un-malware-23699.html
- Captcha cracking in JavaScript with Canvas and neural nets
Publié le 26 janvier 2009 by Pierre
http://locallab.wordpress.com/2009/01/26/captcha-cracking-in-javascript-with-canvas-and-neural-nets/
- Paresseux ? Captcha Trader saisit les captchas à votre place
Par Korben
http://outiweb.com/frame.php?pageid=16443
- Google reCAPTCHA cracké, bis
Publié le 18-01-2011 à 20:28:58 dans le thème Authentification
http://www.zataz.com/news/20967/reCAPTCHA—crack—Asirra.html
Le système anti-spam reCAPTCHA de Google a été cracké. Les pirates seraient capables de créer plus de 800.000 faux comptes gMail par jour.
- Crack du Captcha sur MegaUpload
1/27/09
http://thetitoo.blogspot.com/2009/01/crack-to-captcha-sur-megaupload.html
- Les CAPTCHA sont crackés en moins d’une minute
Par : Cyril Fussy - Jeudi 17 avril 2008 à 10:28
http://www.theinquirer.fr/2008/04/17/les_captcha_sont_crackes_en_moins_dune_minute.html
- Cracking M1 Free SMS Captcha using the Cloud
February 8, 2012
http://milo2012.wordpress.com/2012/02/08/cracking-m1-free-sms-captcha-using-the-cloud/
- Smart software cracks sound-based CAPTCHA security
Jacob Aron, technology reporter, 16:24 24 May 2011
http://www.newscientist.com/blogs/onepercent/2011/05/audio-captchas-cracked.html
http://www.newscientist.com/article/mg21228356.200-websites-beware-its-so-easy-to-catch-out-captcha.html
- Breaking CAPTCHA with automated humans
http://www.troyhunt.com/2012/01/breaking-captcha-with-automated-humans.html
- Les Captcha de CNN, E-Bay, et Wikipédia forcés !
posté par stagiaire le 4 nov 2011
http://geeko.lesoir.be/2011/11/04/les-captcha-de-google-e-bay-et-wikipedia-forces/
- CAPTCHA Cracked Again
Written by Jeff Orloff on November 8, 2011
http://www.allspammedup.com/2011/11/captcha-cracked-again/
- Google reCAPTCHA cracked
Written by John P Mello Jr on January 5, 2011
http://www.allspammedup.com/2011/01/google-recaptcha-cracked/
- Researcher cracks Yahoo CAPTCHA software
Antispam tech is considered to be among the strongest of its kind
By Matthew Broersma
January 18, 2008 12:00 PM
http://www.computerworld.com/s/article/9058000/Researcher_cracks_Yahoo_CAPTCHA_software
- Crack Captcha (doc pdf)
Text-based CAPTCHA Strengths and Weaknesses
ACM Computer and Communication security 2011 (CSS’2011)
http://cdn.ly.tl/publications/text-based-captcha-strengths-and-weaknesses.pdf
Captcha cracking -3- Les chercheurs de l’université de Stanford ...
- Researchers crack Microsoft, eBay, Yahoo, Digg audio captchas
Other sites are vulnerable to Decaptcha code created by researchers
By Tim Greene, Network World, May 24, 2011 11:15 AM ET
Researchers have figured out how to to crack captchas, making it possible to launch automated attacks against sites such as Microsoft, eBay and Digg where opening phony accounts could be turned into cash.
http://www.networkworld.com/news/2011/052411-researchers-captcha.html
- Le décodeur de captchas, ou quand un robot se fait passer pour un humain
Par Jean-Luc Goudet, Futura-Sciences, Le 21 juin 2011 à 11h40
http://www.futura-sciences.com/fr/news/t/informatique/d/le-decodeur-de-captchas-ou-quand-un-robot-se-fait-passer-pour-un-humain_30999/
Une équipe d’informaticiens de l’université de Stanford a créé un logiciel, Decaptcha, capable de comprendre les captchas audio, et donc de déjouer les sécurités installées sur les sites pour différencier les internautes en chair et en os des robots logiciels. Efficacité démontrée chez eBay, Microsoft et Yahoo !.
- Le décodeur de captchas, ou quand un robot se fait passer pour un humain
21 juin 2011
http://www.undernews.fr/authentification-biometrie/le-decodeur-de-captchas-ou-quand-un-robot-se-fait-passer-pour-un-humain.html
- Les CAPTCHA ne résistent plus aux attaques
7 novembre 2011 - Charles-Édouard Carrier
http://www.synchro-blogue.com/synchro/2011/11/les-captcha-ne-resistent-plus-aux-attaques.html
- Stanford researchers crack video CAPTCHA
By Ryan Heise on February 21, 2012 01:55 am
http://www.theverge.com/2012/2/21/2813512/stanford-researchers-crack-video-captcha
- Briseur de captcha automatisé
Publié le 04-11-2011 à 00:05:19 dans le thème Authentification
Des chercheurs de l´université de Stanford mettent au point un outil automatisé qui passe outre les sécurités captcha. Les captchas, des systèmes de contrôle ayant pour mission de s’assurer que l’internaute qui lance une recherche, s’inscrit sur votre site ou post un message sur votre blog est bien un humain. Le captcha propose des lettres, des chiffres, voir des images que l’internaute doit reproduire afin de continuer son action.
http://www.zataz.com/news/21679/break-captcha.html
- Les CAPTCHAs pas aussi sécurisés qu’on ne le pense
http://www.sur-la-toile.com/article-12852-Les-CAPTCHAs-pas-aussi-securises-qu-on-ne-le-pense..html
- L’efficacité des captchas remise en question par des chercheurs de Stanford
http://www.clubic.com/application-web/actualite-455954-efficacite-capchas-remise-question-chercheurs-stanford.html
- Des chercheurs parviennent à cracker les captcha
Actualité geek du 2 novembre 2011
http://www.firasofting.com/blog/2011/des-chercheurs-parviennent-a-cracker-les-captcha/
Captcha cracking -4-
- Inside India’s CAPTCHA solving economy
By Dancho Danchev | August 29, 2008, 12:07pm PDT
Summary : No CAPTCHA can survive a human that’s receiving financial incentives for solving it, and with an army of low-waged human CAPTCHA solvers officially in the business of “data processing” while earning a mere $2 for solving a thousand CAPTCHA’s, I’m already starting to see evidence of consolidation between India’s major CAPTCHA solving companies. The consolidation [...]
http://www.zdnet.com/blog/security/inside-indias-captcha-solving-economy/1835
- Spammers Outsourcing Captcha-Cracking Task For Cheap
Researchers at UC San Diego recently conducted a study according to which, spammers are recruiting numerous people largely in foreign countries to crack CAPTCHA systems at just a rate of $1/1,000 cracks.
http://www.spamfighter.com/News-14984-Spammers-Outsourcing-Captcha-Cracking-Task-For-Cheap.htm
- CAPTCHA (WikiPedia)
http://fr.wikipedia.org/wiki/CAPTCHA
Alternatives au Captcha
Il existe plusieurs méthodes alternatives à la technique du Captcha et l’article du W3C « L’inaccessibilité des CAPTCHA » en fait une excellente présentation. De son côté, Xavier de BRABOIS dans son article « En finir avec les Captcha » nous parle d’une méthode alternative simple à la technique des Captcha, il s’agit du ...
...recours à des questions logiques tournantes. Une question aléatoire est posée, dont la réponse est évidente pour un homme, mais pas pour une machine :
- Combien font 2 et 2 (en chiffre) ?
- Quelle est la couleur du cheval blanc d’Henri IV ?
- Quel est le prénom de Louis de Funès ?
- Ecrivez 5 en toutes lettres :
- Quelles est la couleur d’une orange ?
Ces questions simples sont conformes WAI [1], et sont certainement plus efficaces, plus confortables, voire plus amusantes que les hideux Captcha. vous aussi, bannissez donc les captcha, et inventez vos questions les plus absurdes qui dérouteront les moteurs de recherche.
Captcha et anti-spam pour SPIP
- Captcha et anti-spam pour SPIP
Balise #CAPTCHA
12 juillet 2007 – par Bernard Blazin
http://www.spip-contrib.net/Balise-CAPTCHA
http://www.plugandspip.com/?Balise-CAPTCHA
- reCAPTCHA
22 juillet 2007 – par Fil
http://www.spip-contrib.net/reCAPTCHA
- NoSPAM
20 novembre 2008 – par Cedric Morin
http://www.spip-contrib.net/NoSPAM
Captcha pour LimeSurvey
Description et problématiques du CAPTCHA
- L’inaccessibilité des « CAPTCHA »
Solutions de rechange aux tests de Turing sur le Web
Note de groupe de travail du W3C du 23 novembre 2005
Une méthode courante pour limiter l’accès aux services disponibles sur le Web est celle constituée par la vérification visuelle d’une image pixelisée. Elle se révèle un problème majeur pour les utilisateurs qui sont aveugles, souffrent d’une mauvaise vue ou pâtissent d’une difficulté cognitive telle que la dyslexie. Ce document présente quelques solutions potentielles permettant aux systèmes de vérifier la nature humaine de leurs utilisateurs tout en préservant l’accès des personnes handicapées.
http://www.yoyodesign.org/doc/w3c/turingtest-20051123/
- Captcha
Un article de Wikipédia, l’encyclopédie libre.
Ce captcha de « smwm » rend difficile son interprétation par un ordinateur en modifiant la forme des lettres et en ajoutant un dégradé de couleur en fond.
Un captcha est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d’un ordinateur.
Parce que le test est réalisé par un ordinateur, en opposition avec les tests de Turing standard réalisés par des humains, un captcha est souvent décrit comme un test de Turing inversé. Ce terme est néanmoins ambigu parce qu’il pourrait aussi signifier que les participants essaient de prouver qu’ils sont des ordinateurs.
http://fr.wikipedia.org/wiki/Captcha
- W3C : L’inaccessibilité des « CAPTCHA » : Solutions de rechange aux tests de Turing sur le Web
jeu 08 dec ’05 à 00:39 dans la rubrique Techno du web
http://moosh.et.son.brol.be/blog/index.php/2005/12/08/178-w3c-l-inaccessibilite-des-captcha-solutions-de-rechange-aux-tests-de-turing-sur-le-web
- Web Content Accessibility Guidelines (WCAG) 2.0
Lead translating organization : Association BrailleNet, INSERM - UPMC B23, 9 quai Saint Bernard, 75252 Paris Cedex 05.
http://www.w3.org/Translations/WCAG20-fr/
- Captcha et accessibilité
Par Onesque le jeudi, avril 27 2006, 22:28
http://www.onesque.net/blog/index.php/post/2006/04/27/125-captcha-et-accessibilite
- Les captchas anti-bot
Votre site est envahi par des inscriptions de bots (des robots qui s’inscrivent plusieurs fois à des sites dans le but de publier des messages publicitaires sur un livre d’or ou un forum, ou pour utiliser des comptes mail, ...)
Il existe de nombreuses solutions pour empêcher les bots d’agir : dans ce tutoriel, vous apprendrez à en coder quelques-unes en PHP.
En plus de vous apprendre à créer des captchas, ce cours va vous apprendre- je l’espère – des outils méconnus de PHP et des notions informatiques un peu plus complexes . Vous apprendrez dans le premier chapitre comment réaliser un captcha simple en texte sous la forme d’une question, vous y découvrirez comment manipuler le hasard avec PHP et comment générer des chaînes de caractères aléatoires.
Dans le deuxième chapitre, nous nous concentrerons sur la librairie GD, et sur quelques fonctions intéressantes : utiliser une police true type, et créer des effets : rotations, flous avec des matrices de convolution.
Enfin, dans le troisième chapitre, on aborde la manipulation de données binaires : d’abord la théorie et ensuite, la pratique avec PHP.
http://www.siteduzero.com/tutoriel-3-56201-les-captchas-anti-bot.html
- WCAG 2.0, attention cet article n’est pas AAA
décembre 15th, 2008
http://nicolas.cynober.fr/blog/118,wcag-20-attention-cet-article-n%E2%80%99est-pas-aaa.html
- En finir avec les Captcha
Par Xavier de BRABOIS : : Le 18/09/07 à 16h44
http://blog.idfr.net/index.php/2007/09/18/231-en-finir-avec-les-captcha
- Asirra ou le prochain captcha
Par Xavier de BRABOIS : : Le 14/03/07 à 11h00
http://blog.idfr.net/index.php/2007/03/14/171-asirra-ou-le-prochaion-captcha#co
- Script Megaupload auto-fill captcha : Remplir automatiquement le Captcha de MégaUpload
C’est un peu ironique que les utilisateurs cherchent des moyens pour remplir automatiquement les captchas pour gagner du temps. Les captchas ont été inventés pour empêcher les accès aux pages Web automatiquement. La plupart des captchas sur l’Internet sont soit facilement désactivables par les algorythmes (et oui même les équations mathématiques de base peuvent être résolus automatiquement).
Megaupload est un site d’hébergement sur Internet qui affiche un captcha avant le lien de téléchargement d’un fichier sera affiché sur leur site. Le captcha de Megaupload est probablement l’un des plus faciles à reconnaître et de compléter. Plutôt de lire et remplir inutilement ces captchas, génant pour les utilisateurs qui téléchargent des fichiers à partir de Megaupload régulièrement.
Megaupload auto-fill captcha est un script Greasemonkey pour Mozille Firefox (et d’autres navigateurs compatibles) qui va automatiquement remplir et envoyer le captcha sur Megaupload. Cela signifie que l’utilisateur n’a pas à entrer dans le captcha, ni cliquer sur un bouton pour l’envoyer au serveur Megaupload. Il se sent presque comme s’il n’y avait pas un captcha sur Megaupload du tout.
http://www.khanh-blog.com/article-remplir-automatiquement-le-captcha-de-megaupload—39434214.html
[1] Web Accessibility Initiative : L’initiative sur l’accessibilité du Web ou Web Accessibility Initiative (WAI) fut lancée en avril 1997 par le World Wide Web Consortium (W3C).
La principale mission de la WAI est de proposer des solutions techniques pour rendre le World Wide Web accessible aux personnes handicapées et d’une manière plus générale à toute personne sans nécessiter de prérequis particulier.