Discussion :

[Hinault Romaric]

Google veut mettre fin aux textes illisibles du CAPTCHA
No-CAPTCHA permet d’identifier un humain en un clic

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) offre un moyen aux sites Web de pouvoir distinguer les humains des robots, afin d’éviter leurs enregistrements automatiques ou des spammeurs.

Les CAPTCHA gênèrent à l'écran des caractères dont le but est d'être difficilement déchiffrés par les « bots » mais pas par les humains. Ils sont conçus en utilisant plusieurs techniques différentes, notamment l'utilisation d'une table de hachage chiffrée ou cachée.

Ils ont été largement adoptés sur les sites Web comme un moyen de sécurité. Cependant, les textes générés sont délibérément déformés, rendant leur identification pénible pour l’humain. De nombreux internautes voient en CAPTCHA un outil de nuisance.

Mais cela pourrait bientôt changer, car Google vient de dévoiler une nouvelle implémentation du CAPTCHA, plus simple et plus efficace. Le système est basé sur une simple case à cocher pour l’internaute, disant « Je ne suis pas un robot ».

« Bien que la nouvelle API puisse paraitre simple, il y a un haut degré de sophistication derrière cette modeste case », écrit dans un billet de blog Vinay Shet, ingénieur chez Google.

Le système, baptisé « No-CAPTCHA », repose sur l’analyse du comportement de l’utilisateur, avant, pendant et après avoir passé le test du CAPTCHA. Google a recourt, notamment, à l’analyse des mouvements du curseur de la souris, de l’adresse IP ou encore des informations contenues dans les cookies des navigateurs.

Le système fonctionne dans environ 80 % des situations. En cas de soupçon sur l’utilisateur, Google affichera un CAPTCHA traditionnel. Cela a été notamment le cas lors des tests pour 20 % des utilisateurs de Bundle Humble et 40 % des utilisateurs de WordPress.

Pour les utilisateurs de terminaux mobiles, Google affichera une petite image en haut de l’écran. Ils seront invités à choisir dans une liste d’images affichées en dessous, celle qui ressemble le plus à l’image du haut.

La nouvelle API de Google est déjà utilisée par des sites populaires comme Snapchat, WordPress, Humble Bundle. Selon le géant de la recherche, les utilisateurs seraient satisfaits de la nouvelle expérience offerte, permettant d’accéder plus rapidement à ces sites.

L’API est actuellement disponible pour tous les développeurs qui souhaitent l’intégrer à leur site Web.

Source : Google


Et vous ?

Pensez-vous que les CAPTCHA sont assez sécurisés ?

Que pensez-vous du nouveau système proposé par Google ? Une grande avancée ?

[BugFactory]

Bonne nouvelle. Les captchas sont une nuisance, posent des problèmes d'accessibilité et n'arrêtent plus les bots. Imposer les captchas aux utilisateurs malgré la gêne occasionnée était logique quand ils étaient encore efficaces, mais plus maintenant. Ça fait un moment qu'il auraient du disparaître.
J'ai essayé le recaptcha sur le site de Snapchat et il m'a identifié en un clic.

Toutefois, si ce système identifie les humains au moyen des mouvements du pointeur avant le clic, il me semble très simple d'enregistrer les mouvements d'un humain, puis de donner cet enregistrement à un bot pour qu'il le répète à un site. On peut même créer un algorithme qui génère des variantes. Le problème est que contrairement aux captchas, le problème à résoudre (un simple clic) est toujours le même.

De plus, les informations rassemblées par recaptcha sont probablement rassemblées par Google pour la publicité ciblée.

[yann2]

Bonjour

Pensez-vous que les CAPTCHA sont assez sécurisés ?

Non. Il suffit de redévelopper des robots pour ces Captcha, du coup ils vont faire des superpositions d'images pour compliquer la vie des robots ce qui va, dans les faits, compliquer la vie des êtres humains et ainsi de suite.

Que pensez-vous du nouveau système proposé par Google ? Une grande avancée ?

Bien sûr que non. Les alternatives aux CAPTCHA textuels existent depuis belle lurette. Par contre, google pourra compter sur des milliards d'internautes pour améliorer leurs algo de reconnaissance d'images

[Sirus64]

Pensez-vous que les CAPTCHA sont assez sécurisés ?
Non, les bots sont de plus en plus sophistiqués, en peu d'essais ils sont capables de passer et plus facilement que certains humains (c'était même documenté ici).

Que pensez-vous du nouveau système proposé par Google ? Une grande avancée ?
C'est une grande avancée pour eux : ils font toujours travailler les gens gratuitement pour classer des images, avant c'était pour reconnaitre des livres scannés puis des numéros de portes. Bref, je trouve ca dommage que cet aspect ne soit pas traité dans l'article !

[Saverok]

Toujours de l'analyse de l'internaute et toujours plus d’immixtion dans la vie privée
Analyse de l'historique, analyse des cookies, analyses des mouvements de la souris...
Est-ce que Google analyse le mouvement de mon doigt ?!

Trouver des alternatives aux captchas qui sont franchement pénibles, ok
Se servir de se prétexte pour toujours récolter plus d'information sur les internautes, non non et non

[Spartacusply]

Je n'ai jamais mis de CAPTCHA dans mes développements car je l'ai ai toujours trouvé nuisible, c'est donc plutôt une bonne nouvelle que Google les vire car c'est google donc...

Bon faut pas se le cacher, ils vont encore plus nous surveiller mais bon, est-ce qu'on est vraiment à ça prêt maintenant...

[AoCannaille]

Est-ce que Google analyse le mouvement de mon doigts ?!

Cela s'appelle la dynamique de Frappe qui est une technique d'identification biométrique très performante et dont l'ont soupçonne fortement google de l'utiliser pour différencier les utilisateurs du même PC.

ça fait longtemps que les techniques décrites par Orwell ont été dépassées et améliorées

[Saverok]

Bon faut pas se le cacher, ils vont encore plus nous surveiller mais bon, est-ce qu'on est vraiment à ça prêt maintenant...

Ce type de raisonnement est effrayant et dangereux
Et le coup de "la goutte qui fait déborder le vase", ça peut être une idée aussi plutôt que la résignation, non ?

[Paul TOTH]

Ce type de raisonnement est effrayant et dangereux
Et le coup de "la goutte qui fait déborder le vase", ça peut être une idée aussi plutôt que la résignation, non ?

quand on voit ce qu'est devenu la politique en France, j'ai bien l'impression que le vase est très grand... voir qu'il est percé.

[Spartacusply]

Ce type de raisonnement est effrayant et dangereux
Et le coup de "la goutte qui fait déborder le vase", ça peut être une idée aussi plutôt que la résignation, non ?

A noter la pointe d'ironie dans ce propos.

[HS]Ce qui n'empêche pas qu'il y a un certain questionnement à ce sujet de ma part... Et si plutôt on prenait le problème par l'autre bout en n'achetant pas les produits qui nous proposés grâce à la récolte de ses informations ?


Mais c'est là un bien tout autre débat que les captcha.[/HS]

[Guikingone]

L'intérêt du CAPTCHA ? Aucun, une invention inutile qui bloque plus que ce qu'elle n'aide.

Actuellement, les technologies sont dépassés, les alternatives arrivent toujours plus vite et de façon plus sûre, l'abandon de cette erreur de Google me fait plaisir.

[esperanto]

Super, donc en gros au lieu de contraindre l'utilisateur à un petit effort intellectuel on va exploiter des infos envoyées avec la requête à son insu (cookies)
En effet ça n'avait jamais été fait...

Par ailleurs, on aurait vite tendance à oublier que le but d'un captcha n'est pas de reconnaître les humains mais d'éliminer ceux qui n'en sont pas. La différence est subtile je vous l'accorde, mais un captcha peut aussi éliminer ceux qui tapent plus vite que leur cerveau et accumulent les fautes de frappe.

Après, quand je lis dans les commentaires qu'il existe plein d'alternatives aux captchas (même avant celle de google, donc?), serait-ce trop demander que de fournir des exemples ou des liens?

[Spartacusply]

J'ai taper "éviter le spam sans captcha" dans notre bien aimé google, premier lien : http://www.anysurfer.be/fr/en-pratiq...m-sans-captcha

Personnellement, j'utilise le "honey-pot" qui consiste à mettre un faux champ de formulaire dans le HTML caché en CSS. Si le champ est rempli, étant donné qu'un être humain ne le voit pas, c'est que c'est un robot. Ca marche.. très très bien (enfin pour l'instant), et également la technique de "question simple mais compliquée grammaticalement", par exemple : "Parmi ces 4 villes, Londres, Paris, Chicago et Berlin, laquelle ne se trouve pas en Europe ?". Ca marche aussi pas mal du tout.

[miky55]

Ca marche.. très très bien (enfin pour l'instant)

Niveau sécu c'est complètement bidon Si ça marche c'est que personne n'a jamais tenté de faire tourner un bot sur tes sites

[Spartacusply]

C'est ptêtre "complètement bidon", mais si ça marche, il y a eu un "avant" le honey pot et un après me concernant (je sais qu'il y a eu des tentatives, je log quand c'est le cas).

[miky55]

De toute évidence ton système ne peut contrer que des bots génériques qui scannent tous les sites sans distinctions. En général, aujourd’hui les bots ont des cibles spécifique comme les formulaires de commentaire wordpress ou ouverture de comptes automatisés sur des forums ou sites populaires.

Si un jour un des sites protégé par ton système devient inintéressant pour un pirate il lui faudra 2 minutes montre en main pour le contourner là ou il faudra mettre de gros moyen pour casser un captcha ou système similaire.

[Spartacusply]

J'ai jamais dis que c'était infaillible. J'ai jamais dit également que c'était la seule protection à mettre en place. J'ai dit que ça fonctionnait bien, que ça permettait de réduire les attaques contre les bots qui envoient de manière systématique sans réfléchir. C'est pas parce que c'est pas infaillible qu'il faudrait pas l'utiliser, surtout pour le temps que ça prends à mettre en place...

[gangsoleil]

Ca commence à me saouler de devoir prouver que je suis un humain... aujourd'hui, il faut rentrer un code illisible, demain, il faudra cliquer sur toutes les dindes parmis les 9 dessins proposés, et quoi ensuite ? Choisir un dessin parmis le 4 227 proposés sur la page ci-jointe, et répondre au téléphone à un test de 42 questions ?

Et s'ils cherchaient que gagnent les gens qui font des bots, et comment lutter contre eux plutôt que de chercher des palliatifs qui ne sont qu'une fuite en avant ?

[miky55]

Et s'ils cherchaient que gagnent les gens qui font des bots, et comment lutter contre eux plutôt que de chercher des palliatifs qui ne sont qu'une fuite en avant ?

J'ai pas très bien compris le sens de ta phrase, mais perso je vois pas d'autre façon de lutter contre les bots que de vérifier qui est humain.
Après, les gens qui créent des bots le font pour des raisons variés du simple spam au ddos et ils sont des millions à le faire.

[goomazio]

J'ai pas très bien compris le sens de ta phrase

C'est comme pour les lois liberticides à la HADOPI : soit on bidouille une solution qui contourne le problème (formulaire anti-robot, filtrage des mauvais sites du net) soit on solutionne le problème en arrêtant les méchants (on met les créateurs de robots et de sites pédopornographiques en prison).

La deuxième solution est compliquée... Ils préfèrent nous faire "vivre en armonie" avec les méchants.