Qu’est-ce qu’un captcha ?

Nous l’avons dis un peu plus haut, le captcha est une catégorie de test de Turing qui permet de dissocier une réponse humaine d’une réponse d’un ordinateur. Ce système permet donc d’éviter les scripts automatiques de faire des inscriptions, commentaires sur des articles ou de faire une avalanche de recherches sur les moteurs de recherche (comme l’avait fait Yahoo! à l’époque). Afin de pouvoir faire cette dissociation, on propose donc de résoudre différents types de captcha: des lettres ou images à reconnaître, des puzzles à résoudre, etc. Avec des algorithmes, on peut donc savoir par la suite si la résolution a été faite par un robot ou un humain.

Pourquoi une fin existerait ?

L’informatique évolue à une vitesse ahurissante, que cela soit le hardware (matériel) ou le software (logiciel) le développement semble repousser ses limites de jour en jour. De ce fait, les captchas évoluent mais les techniques pour les contourner également, voire plus vite que l’élaboration des captchas.

De plus, il faut savoir que la plupart de ces captchas peuvent être « illégal ». Du calme, nous expliquons ! Nous allons prendre un captcha le plus répandu qui est reCAPTCHA de Google. Bien qu’illégal sur le plan RGPD, l’accessibilité est remis en cause pour les utilisateurs mal ou non voyants. Pour pouvoir se coller aux niveau des législations, une méthode de résolution par audio est alors implémentée et c’est à ce moment qu’une brèche s’est ouverte pour contourner cette vérification. En effet, certaines IA très basiques sont capables de résoudre l’audio et de donner la réponse du captcha. L’extension de navigateur Buster se base sur cette méthode pour la résolution, donc il y a sûrement un moyen de coupler ça avec iMacro pour coder son bot et by-pass le captcha pour réaliser des actions malveillantes en masse. Bien évidemment, aucun détails dans cet article. 😉

Récemment, les vérifications anti-robot type « quel est le résultat de dix plus dix ? » et donner le résultat dans un champs texte sont également victimes des IA (depuis GPT3) qui fournissent le résultat puis utilisé pour contourner la sécurité.

Nous allons à présent aborder une autre approche totalement hors IA et passer sur ce qu’on peut appeler des fermes à captchas. Dans les grandes lignes, ce sont des services où de vraies personnes cette fois-ci sont payées à valider des captcha à longueur de journée. Ce service, bien que éthiquement incorrect, est tout à fait légal et est totalement vu d’un mauvais oeil de la part de Google pour reprendre l’exemple de reCAPTCHA.

Il existe d’autres manières de pouvoir contourner les captchas mais voici les principaux qui sont utilisés.

Dans tout ça, existe-t-il un moyen pour garder actif un système anti-bot et est-ce vraiment utile ?

Avec ces nouvelles avancées en terme de deep learning, les IA rattraperont les nouveautés que proposent les captchas malgré un petit laps de temps pour être opérationnel en plus de ces fameuses fermes à captchas. Donc dans les faits, les captchas seront un bémol en terme d’UX plus qu’autre chose et sont relativement aisés à contourner. Ce qu’il faudrait en soit, ce serait de complétement désactiver les options d’accessibilité sur ces systèmes. Mais en faisant cela, on deviendrait illégal en bloquant l’accès aux non-voyants, notamment sur les sites institutionnels.