Google propose l'usage de CAPTCHA invisibles pour distinguer les humains des bots
s'agit-il pour autant d'une solution plus sécurisée ?
En 2014, Google lançait la deuxième version de son API dénommée reCAPTCHA. Elle ne nécessitait de l’internaute qu’un clic (sur une case à cocher) pour s'assurer de ce que l'initiateur de la validation d'un formulaire web soit non pas un bot, mais bien un humain. Ce mois-ci, Google propose via un site dédié un lien de souscription au nouveau reCAPTCHA invisible. La firme de Mountain View affirme que grâce à celui-ci, il ne sera même plus nécessaire de cocher sur une case à des fins de validation.
Les images ci-dessous nous donnent un aperçu clair de ce qu’est le système reCAPTCHA avant 2014 (première image) et après 2014 (seconde image).
Une case à cocher par l’internaute dans le second cas contre un texte à reconstituer dans le premier. Il y a eu selon Google une avancée, celle de s’affranchir des plaintes d’une communauté qui se disait ennuyée, frustrée, etc. En effet, dans la première version le texte était parfois tellement tordu ou masqué qu’il était impossible de le reconstituer, entrainant ainsi des pertes de temps. Au-delà, la firme souligne que les avancées en intelligence artificielle rendaient la première version plus vulnérable aux attaques. Nous en sommes donc depuis 2014 à reCAPTCHA v2.
La vidéo ci-dessous est une parfaite illustration du fonctionnement de reCAPTCHA v2 et du problème qu'il est censé résoudre. Pour obtenir des bitcoins, l'internaute doit cliquer sur le bouton claim now. Ce processus pourrait être automatisé à l'aide d'un bot, permettant ainsi à un tiers d'obtenir des bitcoins à une fréquence plus importante. Cet inconvénient a été contourné par l'adoption sur ce site de la protection reCAPTCHA v2. Comme l'affirme Google, des algorithmes complexes d'IA permettent de s'assurer que le clic est bien effectué par un humain.
Il s’est cependant avéré depuis lors que cette version aussi a présenté des limites. Tout récemment en février 2017, un internaute a dévoilé sur GitHub un projet dénommé rebreakcaptcha, une preuve de concept selon lui de la façon dont il est possible de contourner reCAPTCHA v2. Il a expliqué dans le détail comment tirer profit des failles du test audio pour pouvoir « casser » le système.
Google aura sûrement tenu compte de toutes ces sonnettes d’alarme pour réagir et nous proposer une nouvelle version de reCAPTCHA dénommée invisible reCAPTCHA. D'après Google, elle fonctionnerait comme le reCAPTCHA v2 avec la particularité de ne plus nécessiter de clic. Nous nous sommes rendus pour vous sur des sites (encore très rares) l’ayant adopté pour vous donner un aperçu de ce à quoi il ressemblera sur vos pages web.
Instructions d'intégration de l'outil reCAPTCHA à vos pages web
Sources : site web invisible reCAPTCHA , Daily mail , projet rebreakcaptcha
Et vous ?
Pensez-vous que les CAPTCHA invisibles apporteront plus de sécurité à vos formulaires web ?
Voir aussi :
Google veut mettre fin aux textes illisibles du CAPTCHA, No-CAPTCHA permet d'identifier un humain en un clic
Les CAPTCHA sont-ils un outil de sécurité ou une nuisance ? un ingénieur de Google casse celui de Sony avec un simple regex
Partager