IA : un nouvel algorithme est capable de résoudre les tests CAPTCHA en moins de 0,05 seconde
selon une recherche

Vous avez certainement rencontré des CAPTCHA sur au moins un des sites que vous avez visité. C'est un sigle (Completely Automated Public Turing test to Tell Computers and Humans Apart, ou en français : "Test public de Turing entièrement automatisé pour différencier un humain d'un ordinateur"). Le terme CAPTCHA est une marque commerciale de l'université Carnegie-Mellon, une université privée spécialisée en recherche située à Pittsburgh. Ce mot désigne un test, comme son nom l'indique, qui permet de différencier de manière automatisée un utilisateur humain d'un ordinateur par exemple. Ce test de défi-réponse est utilisé en informatique pour vérifier que l'utilisateur n'est pas un robot. La vérification utilise généralement la capacité d'analyse d'image ou de son de l'être humain. Un CAPTCHA usuel requiert ainsi que l'utilisateur saisisse au clavier une courte séquence improbable d'une demi-douzaine de lettres et/ou de chiffres visibles sur une image distordue qui apparaît à l'écran. Certains sites web préfèrent afficher une image qui contient une question mathématique.

Sous ce nom se cache la petite boite affichant des lettres rayés que vous devez recopier. Les CAPTCHA à base de texte utilisent une multitude de lettres et de chiffres, ainsi que d'autres fonctionnalités de sécurité telles que les lignes d'occlusion, afin de distinguer les humains des programmes informatiques automatisés malveillants. Le système repose sur le fait que les personnes trouvent plus facile de déchiffrer les caractères que les machines. Ce mécanisme permet de déterminer si le visiteur est un humain ou un bot. En effet, un ordinateur est sensé avoir beaucoup de mal à reconnaître les lettres et donc beaucoup de mal à les recopier que les humains. Cela est peut-être remis en cause avec l'évolution de l'intelligence artificielle. En 2014, Google lançait la deuxième version de son API dénommée reCAPTCHA. Elle ne nécessitait de l’internaute qu’un clic (sur une case à cocher) pour s'assurer de ce que l'initiateur de la validation d'un formulaire web soit non pas un bot, mais bien un humain par exemple. En mars 2017, Google avait proposé via un site dédié un lien de souscription au nouveau reCAPTCHA invisible. La firme de Mountain View affirmait que grâce à celui-ci, il ne sera même plus nécessaire de cocher sur une case à des fins de validation.

Nom : 1422-captcha-ai-future-timeline.jpg
Affichages : 2621
Taille : 45,5 Ko

En sortant la deuxième version de son système de test CAPTCHA, Google reconnaissait déjà que les avancées en intelligence artificielle rendaient la première version (un texte à reconstituer par l'utilisateur) plus vulnérable aux attaques. Il s’est cependant avéré depuis lors que cette version aussi a présenté des limites. En février 2017, un internaute a dévoilé sur GitHub un projet dénommé rebreakcaptcha, une preuve de concept selon lui de la façon dont il est possible de contourner reCAPTCHA v2. Il avait expliqué dans le détail comment tirer profit des failles du test audio pour pouvoir « casser » le système. A cette menace, Google proposait une autre version de reCAPTCHA dénommée invisible reCAPTCHA qui, d'après Google, fonctionnerait comme le reCAPTCHA v2 avec la particularité de ne plus nécessiter de clic. Et bien, l'intelligence artificielle, qui ne cesse d'évoluer, continue toujours d'être une menace pour le CAPTCHA.

En effet, des informaticiens de l'université de Lancaster au Royaume-Uni, de l'université du Nord-ouest et de l'université de Pékin en Chine, ont développé un nouvel algorithme, basé sur des méthodes d'apprentissage profond, qui solutionne de façon efficace les systèmes de sécurité et d'authentification CAPTCHA. Cet algorithme offre une précision bien supérieure aux systèmes d'attaque CAPTCHA précédents et est capable de déchiffrer des CAPTCHA bien complexe. Il est également très efficace, capable de passer un test en 0,05 seconde sur un ordinateur de bureau, selon les chercheurs. Il fonctionne en utilisant une technique connue sous le nom de « réseaux antagonistes génératifs » ou GAN, une classe d'algorithmes d'apprentissage non-supervisé qui permet de générer des images avec un fort degré de réalisme. Cela implique d'enseigner à un programme générateur de CAPTCHA la production d'un grand nombre de CAPTCHA de formation qui ne se distinguent pas des véritables CAPTCHA. Celles-ci sont ensuite utilisées pour former rapidement un solveur, qui est ensuite raffiné et testé contre de vrais CAPTCHA.

En utilisant un générateur automatique CAPTCHA appris par machine, les chercheurs sont en mesure de réduire considérablement les efforts et le temps nécessaires pour rechercher et marquer manuellement les CAPTCHA afin de former leur logiciel. Cela nécessite seulement 500 CAPTCHA authentiques, au lieu des millions qui seraient normalement nécessaires pour entraîner efficacement un programme d'attaque. Les solveurs précédents de CAPTCHA sont spécifiques à une variante particulière de CAPTCHA. Les systèmes d’attaque antérieurs d’apprentissage par la machine demandent beaucoup de main-d’œuvre, ce qui nécessite beaucoup de marquage manuel pour les entraîner. Ils sont également facilement rendus obsolètes par de petits changements dans les fonctionnalités de sécurité utilisées dans les CAPTCHA. Étant donné que le nouvel algorithme nécessite peu d'intervention humaine, il peut facilement être reconstruit pour cibler de nouveaux systèmes CAPTCHA, ou modifiés. Le programme a été testé sur 33 programmes CAPTCHA, dont 11 sont utilisés dans le monde entier.

Zheng Wang, maître de conférences à la faculté d'informatique et de communication de l'université de Lancaster et co-auteur de la recherche, a déclaré que c'est la première fois qu'une approche basée sur le GAN est utilisée pour construire des solveurs. « Notre travail montre que les fonctionnalités de sécurité utilisées, les systèmes CAPTCHA actuels basés sur des textes, sont particulièrement vulnérables aux méthodes d’apprentissage profond. Nous montrons, pour la première fois, qu'un pirate peut lancer une attaque rapide contre un nouveau système CAPTCHA basé sur du texte avec très peu d'effort. C'est effrayant, car cela signifie que cette première défense de sécurité de nombreux sites Web n'est plus fiable. Cela signifie que CAPTCHA constitue une vulnérabilité majeure qui peut être exploitée par une attaque les sites de nombreuses façons », a-t-il déclaré.

Guixin Ye, auteur de l’ouvrage, a déclaré que « cela permet à un adversaire de lancer une attaque sur des services tels que des attaques par déni de service, l'envoi de messages de spam ou de phishing, le vol de données à caractère personnel ou même la falsification de l'identité de l'utilisateur. En raison du taux de réussite élevé de notre approche pour la plupart des systèmes de texte CAPTCHA, les sites Web devraient abandonner les CAPTCHA ». Les chercheurs estiment que les sites Web devraient désormais envisager des mesures alternatives utilisant plusieurs niveaux de sécurité, tels que, l'emplacement de l'appareil ou même des informations biométriques. En 2012, une start-up américaine YouAreAHuman avait proposé de remplacer ces CAPTCHA par des mini jeux codé en HTML 5. Le principe est plus que simple, le site web affiche un jeu aléatoire qui se présente sous la forme d'un simple écran contenant l'énoncé sous forme de texte et le jeu à compléter. Voilà que des algorithmes d'IA sont devenus des experts de jeu et battent même les joueurs professionnel. Un exemple est AlphaZero, l'IA de DeepMind, qui est capable de maîtriser rapidement n'importe quel jeu comme les échecs, le Go et le Shogi par exemple.

Source : Résultat de la recherche

Et vous ?

Qu'en pensez-vous ?
Devrait-on abandonner le CAPTCHA selon vous ? Pourquoi ?
Comment pourrait-on l'améliorer ?
Quelle alternative proposeriez-vous au CAPTCHA ?

Voir aussi

AlphaZero, l'IA de DeepMind, est capable de maîtriser rapidement n'importe quel jeu comme les échecs, le Go et le Shogi sans l'assistance humaine

Google propose l'usage de CAPTCHA invisibles pour distinguer les humains des bots s'agit-il pour autant d'une solution plus sécurisée ?

Une start-up américaine veut remplacer les CAPTCHA par des jeux, l'utilisateur doit compléter un jeu pour prouver qu'il n'est pas un bot