Les CAPTCHA sont-ils assez sécurisés ?

[Hinault Romaric]

Les CAPTCHA sont-ils assez sécurisés ?
Un ingénieur de Google casse celui de Sony avec un simple regex

Les développeurs utilisent couramment les CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) comme moyen de sécurité pour éviter les enregistrements automatiques par des robots ou des spammeurs.

Ces composants gênèrent à l'écran des caractères dont le but est d'être difficilement déchiffrés par les « bots » mais aisément par les humains. Ils sont conçus en utilisant plusieurs techniques différentes, notamment l'utilisation d'une table de hachage chiffrée ou cachée.

Sony, pour sa part, a choisi de mettre en place un CAPTCHA en pur HTML, CSS et JavaScript. Ici, aucun caractère chiffré ni table de hachage, mais des caractères stockés directement en « clair », dans un simple fichier.

Ce choix douteux n'a pas échappé à l'ingénieur de la team Google+. Andrew Hintz a en effet constaté que l'utilisation d'un simple regex(expression régulière) était suffisante pour révéler les caractères de contrôle générés dans les pages de Sony.

Pire encore, le code JavaScript utilisé pour afficher et vérifier le CAPTCHA est tellement bien documenté qu'il peut être simplement utilisé pour programmer un bot pouvant contourner ce système.



Au delà de ce cas « d'école » (dans le mauvais sens) conçu par Sony, Andrew Hintz fait également remarquer que la plupart des CAPTCHA peuvent être décodés avec une simple combinaison de détection de contours Gaussien et d'analyse de la différence XOR des caractères.

Autrement dit, pour l'ingénieur de Google, ce système est plus une source de nuisance pour l'utilisateur qu'un outil de sécurité.


Source : Blog Google

Et vous ?

Pensez-vous que les CAPTCHA sont assez sécurisés ?

D'après vous, comment une entreprise comme Sony a-t-elle pu mettre au point un CAPTCHA aussi faible ?

Considérez-vous les CAPTCHA, comme Andrew Hintz, c'est à dire plus comme une nuisance que comme un outil de sécurité ?

[kdmbella]

Pensez-vous que les CAPTCHA sont assez sécurisé?
tout dépend de comment on le met en place : si c'est un captcha coté client c'est pas indiquer de toute façon c'est moins sécurisé qu'un captcha coté serveur

D'après vous, commeny une entreprise comme Sony a-t-elle pu mettre au point un CAPTCHA aussi faible ?

c'est pas certain que c'est sony qui a concu son site il l'a peut être confié a une web compagnie et dans ce cas c'est à la web compagnie qu'il faut faire un procès d'intention de l'autre coté sony n'est pas la seule entreprise dans ce cas peut être que Google lui même est dans la même situation.

je poserai une autre question : comment le ministère de l'économie a put se faire hacker aussi facilement?

Considérez-vous les CAPTCHA, comme Andrew Hintz, c'est à dire plus comme une nuisance que comme un outil de sécurité ?

il arrive souvent que le captcha soit vu comme une nuisance: particulièrement lorsque le déchiffrage des caractères n'est pas évident meme pour l'homme

[Wormus]

Ridicule cette histoire, ça ne va pas aider Sony à se redorer au niveau de leur sécurité informatique.

On peut pas dire que les captcha soit une nuisance, ils sont très utiles, faut pas en mettre partout mais quand c'est vraiment nécessaire.
Maintenant, je suis pas franchement fan du captcha, je trouve ça assez repoussant et si je peux utiliser autre chose, je le fais (exemple : mettre un temps d'attente de plus en plus long à chaque tentative pour une authentification)

[watermy]

Pour moi il n'y a pas photo, c'est une vrai nuisance. Parfois c'est un vrai calvaire de déchiffrer ces symboles broyées alors que certains bots le font avec une facilité déconcertante.

Pourtant rien n'est perdu, on trouvera peut-être quelque chose de vraiment efficace :

http://xkcd.com/233/

[blbird]

C'est exactement ce que j'ai mis sur mon forum phpbb3, qui même avec le cpatcha, avait une dizaine d'inscriptions réussies de bots par semaine.

Une simple question: etes-vous un humain? Avec NON par défaut.

Depuis 1 an, plus aucun bot n'est passé.

Mais bon c'est sûr que pour un site très visité, ca ne marcherait pas longtemps.

[Neko]

Citation:

Envoyé par Hinault Romaric

Pensez-vous que les CAPTCHA sont assez sécurisé?

J'ai jamais vu de states dessus, ce serait intéressant à avoir. Mais ça semble être plutôt efficace

Citation:

Envoyé par Hinault Romaric

D'après vous, commeny une entreprise comme Sony a-t-elle pu mettre au point un CAPTCHA aussi faible ?

Un stagiaire; un code en attente devant être remplacé qui a été oublié; etc.

Même chez sony ya des incompétents et l'erreur est humaine, ya des milliers de façons dont ça a pu arriver, c'est pas forcément voulu.

Citation:

Envoyé par Hinault Romaric

Considérez-vous les CAPTCHA, comme Andrew Hintz, c'est à dire plus comme une nuisance que comme un outil de sécurité ?

J'ai rarement été bloqué par un captcha... il m'est arrivé de le raté 2 ou 3 fois d'affilé pour certains ce qui est ennuyeux oui, mais la grande majorité prend juste 2 secondes.
Pour donner un exemple, je trouves ça beaucoup plus chiant tous les forums et sites lambda qui t'obligent à remplir nom; prénom; adresse lors d'une inscription tout en sachant très bien que strictement personne met de vrai informations. Ou encore la validation de l'email qui t'oblige à aller ouvrir ton mail et cliquer sur ce satané lien en sachant que la moitié des adresses sont des adresses jetables.

[kdmbella]

Citation:

Envoyé par blbird

C'est exactement ce que j'ai mis sur mon forum phpbb3, qui même avec le cpatcha, avait une dizaine d'inscriptions réussies de bots par semaine.

Une simple question: etes-vous un humain? Avec NON par défaut.

Depuis 1 an, plus aucun bot n'est passé.

Mais bon c'est sûr que pour un site très visité, ca ne marcherait pas longtemps.

je comprend pas bien ton approche car théoriquement si un robot peut remplir un formulaire alors il peut t'ou aussi cocher un bouton radio je pense; d'autre part pour augmenté la complexité il faudrait utiliser a mon sens plus de bouton radio disons 4 dans ce cas on diminue la probabilité d'un robot trouve le bon bouton radio au premier coup

[_cheval_]

Une nuisance.
Il n'ennuie que les utilisateurs normaux. Ils ne servent à rien niveau sécurité.

Le seul avantage, est de faire "croire" et de "rassurer" les user, et les départements Marketing, que des "actions fraudes" ont été prises.

Si vous avez une dpt Marketing compréhensif, il ne faut pas perdre une minute sur les Captcha et mettre en place de réelles actions contre la lutte contre la fraude.

[7ider5]

Merci watermy pour ce lien, très drôle!


http://xkcd.com/565/

[Yoteco]

Je ne pense pas qu'on arrivera un jour à véritablement faire un CAPTCHA 100% sûr. Car actuellement certains bot utilisent des humains pour déchiffrer les CAPTCHA. Je m'explique, si je veux spammer le site www.site.com je peux très bien utiliser un de mes sites www.monsite.com et demander aux utilisateurs qui s'enregistre sur mon site de déchiffrer un CAPTCHA qui vient en fait du site www.site.com. Donc au final je pense qu'il va falloir trouver un meilleur moyen...

Cependant un simple CAPTCHA comme reCaptcha par exemple permet tout de même d'appliquer un bon filtre et limite grandement le nombre de faux enregistrements.

[Sebish]

Ce qui est assez drole dans l'histoire c'est qu'un des rares CAPTCHA qui me pose problème au niveau de l'identification, est justement celui de google (add URL). Il n'y a pas de re-captcha, et quand tu loupes ton coup, les champs que tu avais remplis sont reset...

De plus, le terme CAPTCHA ne veut pas necessairement dire image captcha, il y a bien d'autres types d'identification possible ou la détection de contours gaussien ne peut pas faire grand chose, du genre questions de cultures générales, mini-puzzle, trouver l'intrus ... Après, comme le dis Yoteco, y a d'autres moyens pour contourner un captcha.

[Idelways]

Bonjour

Les captcha peuvent être embêtants mais rendrent parfois énormément de services.
Savez-vous que reCAPTCHA est utilisé pour numériser des livres ?
En fait, dans l'image qui s'affiche, il y a toujours deux mots, la machine connait parfaitement la suite des caractères de l'un (et ne valide que celui là), et ignore l'autre.
A force d'avoir la même proposition plusieurs fois pour le même mot inconnu, l'OCR d'un livre à conserver avance (noter le slogan Stop spam, Read book)

Pour revenir au sujet, je suis d'avis qu'on ne doit mettre les Captcha qu'à partir du moment où il y a abus, ou risque assez élevé d'abus.

Je suis souvent contrarié de devoir déchiffrer péniblement les mots d'un CAPTCHA sur un blog qui fait 10 commentaires par an.

Cordialement
Idelways

[spoutbe]

Certains CAPTCHA sont facile à décoder:
http://caca.zoy.org/wiki/PWNtcha
http://www.ocr-research.org.ua/list.html

Un article intéressant:
http://coding.smashingmagazine.com/2...rfect-captcha/

Citation:

The perfect CAPTCHA is no CAPTCHA at all.

Une solution no CAPTCHA à envisager:
http://www.webdesignfromscratch.com/...n-check-trick/

[Mako 5013]

Je me souviens avoir lu quelque part que les CAPTCHAs avaient deux buts.

Le premier est celui dont il est question ici, à savoir empêcher les inscriptions de bots sur divers forums et autres.

Mais le principal objectif avec les CAPTCHAs étaient tout autre, puisqu'il s'agissait d'un moyen de tester des IA. Ainsi, un nouveau type de CAPTCHA n'avait pour finalité que d'être "brisé" par une IA. Ceci permettant de faire des progrès dans le domaine de l'IA, et surtout de pouvoir mesurer ces progrès.

Mako.

[mister3957]

Comme chaque systèmes de sécurité (pas qu'informatique), ça ne fait qu'embêter les honnêtes gens.

[lugdanum]

Bonjour

Moi je teste depuis un bout de temps ce système:
- Un champ caché dans mes formulaires de ce style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="hidden" name="email" value="" />

Je teste ensuite si celui-ci est remplie, s'il l'est, Un bot est certainement passé par là, sinon il y a des chances que se soit bien quelqu'un...

Je dis pas que c'est efficace à 100% mais moi aussi depuis 1 an que j'ai mis ce système en place sur un site (300 visiteurs unique/jour) plus de bots...

Moi j'aime pas les captchats, ils ne servent vraiment à rien :
- Facile à contourner, en tout cas ne resiste pas bien longtemps
- Font souvent partir les gens en cas de complexité (donc perte d'inscription si le captchat se trouve sur le formulaire d'enregistrement)
- C'est moche !

[rivsc]

@lugdanum : oui les Negative Captcha sont relativement efficace ! Après c'est pareil tant que le robot est conçu pour une plateforme (wordpress, facebook...) ça va, mais quand il est conçu pour un système particulier aïe aïe !

[Laurent.B]

Citation:

Envoyé par lugdanum

Moi je teste depuis un bout de temps ce système:
- Un champ caché dans mes formulaires de ce style :

Ca n'a vraiment rien de particulièrement efficace, la détection du hidden est quand même extrêmement facile...
Cacher le champ avec un style peut déjà être plus malin mais bon, celui qui va s'intéresser au système trouvera rapidement la parade.

Les CAPTCHA ont eu leur utilité c'est certain mais effectivement, si un humain peut lire et retranscrire une séquence de caractères, un programme bien conçu parviendra lui aussi à le faire. Donc, globalement ça perd complètement son intérêt.

Pour que ça reste un minimum efficace il faut multiplier les variantes, de façon à ce que ce ne soit jamais identique, ni au niveau de la forme des caractères, ni au niveau des séquences de caractères, ni au niveau des couleurs ou des formes diverses qui composent le CAPTCHA.
Donc qu'un motif ne soit valable qu'une seule fois et pour un laps de temps assez court.

En plus du CAPTCHA, le code de la page et des champs doit aussi changer sans arrêt, pas de noms fixes pour les champs et pas de pattern reconnaissable. On introduit par exemple un numéro de série (unique évidemment), qui ne sert qu'une fois et qui est mis en session côté serveur (invalidable au bout d'un timeout), pour mapper chaque champ (dont le nom change tout le temps) avec les champs cibles dont seul le serveur à connaissance. Bon, le problème est qu'il faut bien indiquer le libellé des champs au niveau du formulaire pour que l'utilisateur sache où mettre quoi, et du coup le nom aléatoire des champs peut être repéré. Donc là aussi, il faut arriver à rendre aléatoire la structure du formulaire au niveau du code, sans pour autant changer son aspect visuel... Ce n'est pas simple et ça reste détectable.
On peut aussi brouiller les pistes avec du Javascript mais sans aucun algorithme côté client.
On peut également faire en sorte de détecter les tentatives trop répétitivent venant d'une IP en particulier, sans pour autant la bloquer automatiquement de manière définitive, puisqu'une IP n'a absolument rien de fiable quant à savoir si le requêtes venant de celle-ci sont toutes de la même machine.

Il y a d'autres astuces pour rendre la tâche des bots plus difficile mais il faut rester réaliste, aucun système n'est infaillible.

Donc les CAPTCHA ont sans doute au moins la capacité d'éviter que des bots basiques aient trop de facilité à passer.

[alain78]

Citation:

Envoyé par Laurent.B

Pour que ça reste un minimum efficace il faut multiplier les variantes, de façon à ce que ce ne soit jamais identique, ni au niveau de la forme des caractères, ni au niveau des séquences de caractères, ni au niveau des couleurs ou des formes diverses qui composent le CAPTCHA.
Donc qu'un motif ne soit valable qu'une seule fois et pour un laps de temps assez court.

Pourquoi ne pas utiliser un système comme celui destiné à bloquer les "screen logger". Ma banque en ligne utilise une "calculatrice" pour vérifier mon mot de passe. La calculatrice est placé de manière aléatoire sur l'écran, et la position des chiffres change à chaque fois.

Il est doit facile de poser une question à l'utilisateur comme par exemple : "combien font cinq fois cinq" et faire saisir la réponse dans la "calculatrice" mouvante. Bien sûr question et réponse associée doivent varier (50 fois ?).

Bien sûr cette solution n'est pas 100% idéale, mais on peut atteindre un bon taux de réussite en complexifiant le couple question/réponse.
Il faut je pense utiliser au maximum les ressources de l'homme que la machine aura du mal (dans l'immédiat) à accéder.
Exemple :
1° j'utilise la reconnaissance par l'homme d'une séquence de symboles (ici les lettres) : CINQ FOIS CINQ au lieu d’utiliser une formule facilement identifiable par la machine 5 x 5
2° j'utilise pour la réponse un référentiel de l'homme. Dans mon exemple le référentiel est la table de multiplication par 5. Je peux utiliser un référentiel plus complexe en fonction de la population d'utilisateur que j’attends visiter le site. Exemple pour des visiteurs "scientifiques" : "combien font quatre puissance deux divisé par un" .
Attention cependant à ne pas trop complexifier le référentiel.

Et comme l'écris Laurent.B il faut multiplier en grand nombre le couple question-réponse

[Mako 5013]

Citation:

Envoyé par alain78

Pourquoi ne pas utiliser un système comme celui destiné à bloquer les "screen logger".

Il me semble que le type de CAPTCHA dont tu parles est utilisé sur un forum Ubuntu (de mémoire). Et effectivement, cela semble plutôt efficace.

Par contre, comme tu l'as bien souligné, la difficulté dans la réalisation d'un tel CAPTCHA est le choix du référentiel (pas trop simple, ni trop complexe).

Mako.