+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Rédacteur

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    122
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 122
    Points : 10 089
    Points
    10 089

    Par défaut Des CAPTCHA invisibles proposés par Google bientôt sur les formulaires Web

    Google propose l'usage de CAPTCHA invisibles pour distinguer les humains des bots
    s'agit-il pour autant d'une solution plus sécurisée ?


    En 2014, Google lançait la deuxième version de son API dénommée reCAPTCHA. Elle ne nécessitait de l’internaute qu’un clic (sur une case à cocher) pour s'assurer de ce que l'initiateur de la validation d'un formulaire web soit non pas un bot, mais bien un humain. Ce mois-ci, Google propose via un site dédié un lien de souscription au nouveau reCAPTCHA invisible. La firme de Mountain View affirme que grâce à celui-ci, il ne sera même plus nécessaire de cocher sur une case à des fins de validation.


    Les images ci-dessous nous donnent un aperçu clair de ce qu’est le système reCAPTCHA avant 2014 (première image) et après 2014 (seconde image).

    Nom : reCAPTCHA v1.png
Affichages : 3044
Taille : 24,8 Ko

    Nom : Recaptcha v2.gif
Affichages : 3012
Taille : 63,6 Ko

    Une case à cocher par l’internaute dans le second cas contre un texte à reconstituer dans le premier. Il y a eu selon Google une avancée, celle de s’affranchir des plaintes d’une communauté qui se disait ennuyée, frustrée, etc. En effet, dans la première version le texte était parfois tellement tordu ou masqué qu’il était impossible de le reconstituer, entrainant ainsi des pertes de temps. Au-delà, la firme souligne que les avancées en intelligence artificielle rendaient la première version plus vulnérable aux attaques. Nous en sommes donc depuis 2014 à reCAPTCHA v2.

    La vidéo ci-dessous est une parfaite illustration du fonctionnement de reCAPTCHA v2 et du problème qu'il est censé résoudre. Pour obtenir des bitcoins, l'internaute doit cliquer sur le bouton claim now. Ce processus pourrait être automatisé à l'aide d'un bot, permettant ainsi à un tiers d'obtenir des bitcoins à une fréquence plus importante. Cet inconvénient a été contourné par l'adoption sur ce site de la protection reCAPTCHA v2. Comme l'affirme Google, des algorithmes complexes d'IA permettent de s'assurer que le clic est bien effectué par un humain.


    Il s’est cependant avéré depuis lors que cette version aussi a présenté des limites. Tout récemment en février 2017, un internaute a dévoilé sur GitHub un projet dénommé rebreakcaptcha, une preuve de concept selon lui de la façon dont il est possible de contourner reCAPTCHA v2. Il a expliqué dans le détail comment tirer profit des failles du test audio pour pouvoir « casser » le système.

    Google aura sûrement tenu compte de toutes ces sonnettes d’alarme pour réagir et nous proposer une nouvelle version de reCAPTCHA dénommée invisible reCAPTCHA. D'après Google, elle fonctionnerait comme le reCAPTCHA v2 avec la particularité de ne plus nécessiter de clic. Nous nous sommes rendus pour vous sur des sites (encore très rares) l’ayant adopté pour vous donner un aperçu de ce à quoi il ressemblera sur vos pages web.

    Nom : reCAPTCHA v3.PNG
Affichages : 3010
Taille : 13,8 Ko


    Instructions d'intégration de l'outil reCAPTCHA à vos pages web

    Sources : site web invisible reCAPTCHA , Daily mail , projet rebreakcaptcha

    Et vous ?

    Pensez-vous que les CAPTCHA invisibles apporteront plus de sécurité à vos formulaires web ?

    Voir aussi :

    Google veut mettre fin aux textes illisibles du CAPTCHA, No-CAPTCHA permet d'identifier un humain en un clic

    Les CAPTCHA sont-ils un outil de sécurité ou une nuisance ? un ingénieur de Google casse celui de Sony avec un simple regex

  2. #2
    Membre expérimenté

    Profil pro
    Inscrit en
    décembre 2006
    Messages
    2 290
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2006
    Messages : 2 290
    Points : 1 503
    Points
    1 503

    Par défaut Et l'accessibilité dans tout cela ?

    Rien de plus à demander.

  3. #3
    Membre expérimenté
    Avatar de Jarodd
    Profil pro
    Inscrit en
    août 2005
    Messages
    785
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2005
    Messages : 785
    Points : 1 475
    Points
    1 475

    Par défaut

    Nous nous sommes rendus pour vous sur des sites (encore très rares) l’ayant adopté pour vous donner un aperçu de ce à quoi il ressemblera sur vos pages web.
    Et donc ? Il manque un bout de l'actu non ? C'est quoi la conclusion ?

    Perso j'ai toujours du mal avec ces captchas. La v1 était effectivement illisible, et en plus facilement automatisable (les plugins de Jdownloader faisaient des merveilles là dessus).
    Mais la v2 n'est pas mieux. Déjà les instructions sont toujours en anglais ("click on the road signs"), ça limite la compréhension de ce qu'il faut chercher. Et ensuite, même en cliquant sur les bonnes cases, parfois elles disparaissent et d'autres apparaissent, ce qui fait qu'on ne valide jamais le captcha, il est infini ! Ca m'arrive de plus en plus souvent, et c'est très frustrant.
    Donc j'attends votre compte-rendu de cette v3, là je reste sur ma faim

  4. #4
    Membre expérimenté
    Femme Profil pro
    Traductrice
    Inscrit en
    octobre 2015
    Messages
    287
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Traductrice
    Secteur : Communication - Médias

    Informations forums :
    Inscription : octobre 2015
    Messages : 287
    Points : 1 486
    Points
    1 486

    Par défaut

    Citation Envoyé par Jarodd Voir le message
    Et ensuite, même en cliquant sur les bonnes cases, parfois elles disparaissent et d'autres apparaissent, ce qui fait qu'on ne valide jamais le captcha, il est infini ! Ca m'arrive de plus en plus souvent, et c'est très frustrant.
    Ah merci ! Je pensais que le problème venait de moi, après avoir tenté vainement pendant 20 bonnes minutes de m'inscrire sur circuits.io.

  5. #5
    Expert confirmé
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 115
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 115
    Points : 5 612
    Points
    5 612

    Par défaut

    Pensez-vous que les CAPTCHA invisibles apporteront plus de sécurité à vos formulaires web ?
    Bah j'ai pas ma boule de cristal et il n'y a aucune note technique sur le système donc.
    Il fait quoi concrètement ce nouveau détecteur ?

    On va pouvoir parier ou attendre ce que l'avenir nous apportera, à part ça...
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  6. #6
    Membre du Club
    Avatar de Artemix
    Femme Profil pro
    Étudiant
    Inscrit en
    avril 2015
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : avril 2015
    Messages : 17
    Points : 63
    Points
    63

    Par défaut Et la "vie privée" ?

    Le plus gros problème soulevé par ces captchas "invisibles" est celui du consentement utilisateur ainsi que la vie privée.

    Personnellement, un script js chargé en arrière plan, qui monitore mon activité afin de déterminer si oui je suis bien humain sans me le déclarer, non merci.

    Surtout lorsqu'on se souvient que la V1 (très probablement comme la V2) se servait des utilisateurs et de leur résolution de captchas pour améliorer leur système de prédictions, ce qu'ils pourraient faire avec ces données collectées de façon "transparente" laissent penser à beaucoup de choses, et sans doute pas du bon...

  7. #7
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Architecte Web / Android
    Inscrit en
    août 2003
    Messages
    4 315
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Architecte Web / Android
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 4 315
    Points : 11 032
    Points
    11 032

    Par défaut

    Perso j'ai souvent utilisé la technique du "honeypot" qui en gros consiste à mettre un champs de formulaire invisible à l'utilisateur (souvent décalé avec une marge très importante) que les robots généralistes vont fatalement remplir.
    On rajoute à ca un petit timer qui vérifie que le formulaire n'a pas été envoyé en mois de x secondes.

    Ca marche plutôt très bien tant que l'attaque de bot n'est pas spécifiquement dirigé vers le formulaire en question (qu'un humain n'a pas pris le temps de faire un bot dédié en gros).

    Cette nouvelle mouture de recaptcha doit être un peu du même principe sauf qu'il y'a en plus derrière une analyse du comportement via du machine learning ce qui du coup doit le rendre bien plus robuste
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  8. #8
    Membre confirmé Avatar de Geoffrey74
    Homme Profil pro
    Développeur Web
    Inscrit en
    mars 2007
    Messages
    380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2007
    Messages : 380
    Points : 573
    Points
    573

    Par défaut

    Pour ma part depuis que j'ai mis reCaptcha sur les différents sites de mes clients, ils n'ont plus de soucis de spam, et pareil pour moi.

    Question vie privée, en partant du principe que rien de l'est sur le net, alors aucun soucis, hakuna matata

  9. #9
    Membre chevronné
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 123
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 123
    Points : 1 801
    Points
    1 801

    Par défaut

    [Troll]
    Et si ce recapcha invisible invincible prenait une photo via la webcam pour nous authentifier, on serait vernis
    (avec la mode des CIA, NSA, terrorisme, piratage...)
    [/Troll]
    Si la réponse vous a aidé, pensez à cliquer sur +1

  10. #10
    Membre averti Avatar de athlon64
    Profil pro
    Inscrit en
    février 2009
    Messages
    208
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2009
    Messages : 208
    Points : 449
    Points
    449

    Par défaut

    Citation Envoyé par Jarodd Voir le message
    ...
    Et ensuite, même en cliquant sur les bonnes cases, parfois elles disparaissent et d'autres apparaissent, ce qui fait qu'on ne valide jamais le captcha, il est infini ! Ca m'arrive de plus en plus souvent, et c'est très frustrant.
    Ça m'est arrivé pour la première fois la semaine passée, je pensais que c’était moi qui m'y prenais mal car ce système était infaillible, du coup ne voulant pas perdre contre les Captchas j'ai perdu 5 mins pour finalement comprendre qu'un truc cloche, j'ai pensé "Ce système de Captcha est vraiment pourri" avez-vous essayé un autre navigateur que chrome ?
    Si le problème s'est uniquement rencontré sous chrome, pesez-vous que google ait fait exprès ?


    Citation Envoyé par Artemix Voir le message
    Le plus gros problème soulevé par ces captchas "invisibles" est celui du consentement utilisateur ainsi que la vie privée.

    Personnellement, un script js chargé en arrière plan, qui monitore mon activité afin de déterminer si oui je suis bien humain sans me le déclarer, non merci.
    Pourquoi faudrait-il penser que les sites qui utilisent les captchas "visibles" respectent mieux la vie privée ? Facebook ou Amazon par exemple utilisent des captchas visibles, je vou...drais juste comprendre pourquoi tu trouves que c'est plus grave

  11. #11
    Membre expérimenté
    Avatar de Jarodd
    Profil pro
    Inscrit en
    août 2005
    Messages
    785
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2005
    Messages : 785
    Points : 1 475
    Points
    1 475

    Par défaut

    Citation Envoyé par athlon64 Voir le message
    Ça m'est arrivé pour la première fois la semaine passée, je pensais que c’était moi qui m'y prenais mal car ce système était infaillible, du coup ne voulant pas perdre contre les Captchas j'ai perdu 5 mins pour finalement comprendre qu'un truc cloche, j'ai pensé "Ce système de Captcha est vraiment pourri" avez-vous essayé un autre navigateur que chrome ?
    Si le problème s'est uniquement rencontré sous chrome, pesez-vous que google ait fait exprès ?
    Je n'ai jamais utilisé Chrome, je suis toujours sous Firefox

  12. #12
    Membre averti Avatar de athlon64
    Profil pro
    Inscrit en
    février 2009
    Messages
    208
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2009
    Messages : 208
    Points : 449
    Points
    449

    Par défaut

    Citation Envoyé par Jarodd Voir le message
    Je n'ai jamais utilisé Chrome, je suis toujours sous Firefox
    donc ça venait pas de chrome...

  13. #13
    Membre expérimenté
    Avatar de Jarodd
    Profil pro
    Inscrit en
    août 2005
    Messages
    785
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2005
    Messages : 785
    Points : 1 475
    Points
    1 475

    Par défaut

    Citation Envoyé par athlon64 Voir le message
    donc ça venait pas de chrome...
    Non, mais je n'ai jamais dit que cela venait de Chrome

  14. #14
    Expert éminent

    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2010
    Messages
    4 368
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 4 368
    Points : 8 264
    Points
    8 264

    Par défaut

    Citation Envoyé par grunk Voir le message
    Perso j'ai souvent utilisé la technique du "honeypot" qui en gros consiste à mettre un champs de formulaire invisible à l'utilisateur (souvent décalé avec une marge très importante) que les robots généralistes vont fatalement remplir.
    On rajoute à ca un petit timer qui vérifie que le formulaire n'a pas été envoyé en mois de x secondes.

    Ca marche plutôt très bien tant que l'attaque de bot n'est pas spécifiquement dirigé vers le formulaire en question (qu'un humain n'a pas pris le temps de faire un bot dédié en gros).

    Cette nouvelle mouture de recaptcha doit être un peu du même principe sauf qu'il y'a en plus derrière une analyse du comportement via du machine learning ce qui du coup doit le rendre bien plus robuste
    Je préfère toujours des méthodes perso comme ta première solution. En matière de sécurité, moins le code est publié, plus il est sécurisé contre les boot (sauf à faire n'importe quoi).

  15. #15
    Membre du Club
    Avatar de Artemix
    Femme Profil pro
    Étudiant
    Inscrit en
    avril 2015
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : avril 2015
    Messages : 17
    Points : 63
    Points
    63

    Par défaut

    Citation Envoyé par ABCIWEB Voir le message
    Je préfère toujours des méthodes perso comme ta première solution. En matière de sécurité, moins le code est publié, plus il est sécurisé contre les boot (sauf à faire n'importe quoi).
    Pourtant, quand on voit le nombre de projets opensource qui sont bien plus résistants en matière de sécurité que leurs alternatives closed-sources...

    En prenant par exemple VeraCrypt ou encore KeePassX, pour des outils dédiés à la sécurité, je n'ai pas encore trouvé d'alternative payante "fiable".

  16. #16
    Expert éminent

    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2010
    Messages
    4 368
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 4 368
    Points : 8 264
    Points
    8 264

    Par défaut

    @ Artemix
    Oui tu as raison, il ne faut pas prendre mes propos au pied de la lettre sans des précautions. Cela suppose de savoir ce que l'on fait et les risques encourus. Si les risques sont bien mesurés, on peut partir d'une solution standard (open source) et la personnaliser. C'est suivant les cas, par exemple si mon code anti boot ne fonctionne pas j'aurais vite fait de le savoir, et si cela ne remet pas en cause directement la stabilité de l'application, je peux me permettre de prendre ce risque.

    Par contre si l'on n'a pas une bonne connaissance du sujet, et/ou si les risques sont importants, mieux vaut prendre une solution éprouvée et ne toucher à rien.

    Je parlais principalement pour un code anti boot, pas de sécurité en général. Tu as bien fait de pondérer mes propos

Discussions similaires

  1. Réponses: 8
    Dernier message: 20/01/2017, 18h23
  2. Gestion des temps d'accès par groupe ldap sur freeradius
    Par zozo357 dans le forum Administration système
    Réponses: 0
    Dernier message: 01/06/2015, 10h47
  3. Réponses: 3
    Dernier message: 12/10/2011, 13h21
  4. [OL-2010] Indexation ost par google desktop sur outlook 2010
    Par drantd dans le forum Outlook
    Réponses: 0
    Dernier message: 26/07/2011, 09h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo