Les bots IA sont désormais plus rapides et plus précis que les humains pour résoudre les CAPTCHA
Les CAPTCHA sont-ils encore efficaces ? Les bots IA sont désormais plus rapides et plus précis que les humains pour les résoudre,
selon une étude
Les CAPTCHA, ces tests qui demandent aux utilisateurs de sites web de prouver qu’ils sont humains en reconnaissant des lettres ou des images déformées, sont de plus en plus inefficaces face aux bots, ces programmes informatiques capables de simuler des comportements humains. C’est ce que révèle une étude menée par des chercheurs de l’Université de Californie à Irvine, qui ont comparé les performances de 1 000 humains et de plusieurs bots sur 200 sites web populaires utilisant des CAPTCHA.
Vous avez certainement essayé d'accéder à certains sites Web et avez été bombardé d'une série d'énigmes vous obligeant à identifier correctement les feux de circulation, les bus ou les passages pour piétons pour prouver que vous êtes bien humain avant de vous connecter.
Completely Automated Public Turing test to tell Computers and Humans Apart (littéralement Test de Turing public entièrement automatisé pour différencier les ordinateurs des humains), mieux connu sous l'acronyme CAPTCHA, est une technologie destinée à protéger un site Web contre la fraude et les abus sans créer de friction. Les puzzles sont destinés à garantir que seuls les utilisateurs valides peuvent accéder au site et non les invasions automatisées.
La mesure de défense contre les robots remonte aux années 1990 et l'acronyme à 2003, la technologie commençant par une série déformée de lettres et/ou de chiffres.
Avec l’avancée des techniques d’intelligence artificielle et d’apprentissage automatique, les bots sont devenus capables de contourner ces tests avec une facilité déconcertante. Certains bots utilisent par exemple la reconnaissance optique de caractères (OCR) pour lire les lettres ou les chiffres déformés, ou la reconnaissance d’images pour identifier les objets demandés. D’autres bots exploitent les failles ou les erreurs des CAPTCHA pour les invalider ou les ignorer.
Face à cette situation, certains sites web ont opté pour des solutions alternatives aux CAPTCHA, comme par exemple le service reCAPTCHA de Google, qui analyse le comportement des utilisateurs en arrière-plan et ne demande un test que si le risque est élevé. D’autres sites web ont renoncé aux CAPTCHA et ont mis en place d’autres mesures de sécurité, comme par exemple la vérification par e-mail ou par SMS.
En 2021, l'analyste Akif Khan a rappelé l'évolution des CAPTCHA :
- étape 1. Les CAPTCHA ont commencé à être utilisés au début des années 1990, principalement par le moteur de recherche Alta Vista qui avait un énorme problème de spam – ils ont introduit le concept des lettres déformées ;
- étape 2. Après cela, reCAPTCHA a été créé, ce qui impliquait une paire de mots – et a été le début de l'utilisation de ce processus pour résoudre les problèmes d'IA, dans ce cas le book scanning. Le premier mot était connu du système, le second n'était pas identifié par le système et faisait partie d'un book scan. Google a fait l'acquisition de reCAPTCHA (qui servait à la numérisation de livres, là où échouaient les systèmes de reconnaissance optique de caractères) ;
- étape 3. ReCAPTCHA 2 est ensuite arrivé, qui consiste à cocher une case pour dire que vous n'êtes pas un robot, et Google fait des vérifications sur votre comportement d'utilisateur, puis une vérification secondaire potentielle, la désormais tristement célèbre sélection d'images. C'est un autre bon exemple d'utilisation de CAPTCHA pour résoudre des problèmes de vision industrielle, dans ce cas dans l'environnement de la circulation, on pourrait supposer pour les voitures autonomes. Compte tenu de l'accent mis dans les universités et dans le commerce sur ce problème particulier de vision industrielle, les mauvais acteurs ont été en mesure de tirer parti de nombreux outils pour développer des systèmes permettant de les vaincre. En fait, étant donné que Google Cloud vend des systèmes d'apprentissage automatique, il est fort probable que certains serveurs de Google créent des CAPTCHA et que d'autres les cassent ;
- étape 4. Google a déployé reCAPTCHA v3, qui n'est rien de plus qu'une case à cocher, et semble utiliser le même type d'outils que la plupart des fournisseurs de détection de bots en termes d'analyse du comportement des utilisateurs ;
- étape 5. Mais Google n'est pas le seul acteur sur le marché. Les CAPTCHA continuent d'évoluer, de nombreux fournisseurs investissant massivement dans leur propre version. Certains prétendent avoir des taux de résolution exceptionnellement élevés pour les humains et des taux de résolution faibles pour les bots. L'approche que certains ont adoptée est de se concentrer sur l'utilisation de défis de vision industrielle qui sont faciles à résoudre pour les humains et n'ont également aucune application commerciale, de sorte que contrairement aux applications de voiture autonome, les mauvais acteurs ne peuvent pas tirer parti des sources académiques, commerciales et open source pour construire des outils visant à résoudre ces CAPTCHA.
Les CAPTCHA, une technologie obsolète ?
Un document de recherche publié le mois dernier qui n'a pas encore été examiné par des pairs indique que les attaques automatisées par l'IA sur divers schémas CAPTCHA ont réussi. L'étude, menée par un groupe de chercheurs dont trois de l'Université de Californie à Irvine, un de l'ETH Zurich, un du Lawrence Livermore National Laboratory et un de Microsoft, a montré que les robots IA sont désormais meilleurs que les humains pour décoder les CAPTCHA. Ils donnent même l'impression que les humains sont plus des robots que les robots que les CAPTCHA tentent de bloquer. Et ils le font même beaucoup plus rapidement.
L'étude a été réalisée sur la plate-forme de crowdsourcing d'Amazon MTurk et impliquait divers types de CAPTCHA, notamment l'identification de cheminées et de bateaux, la rotation d'images, la coche d'une case à cocher et la saisie de texte déformé.
« Nous savons avec certitude qu'ils [les tests des CAPTCHA] sont très mal aimés. Nous n'avons pas eu besoin de faire une étude pour arriver à cette conclusion », a déclaré au New Scientist le chef d'équipe Gene Tsudik de l'Université de Californie à Irvine. « Mais les gens ne savent pas si cet effort, cet effort mondial colossal qui est investi dans la résolution des CAPTCHA chaque jour, chaque année, chaque mois, si cet effort en vaut vraiment la peine ».
Grâce à la marche inexorable du progrès, la réponse semble être non.
Ayant constaté que 120 des 200 sites Web les plus populaires utilisaient des tests CAPTCHA d'un type ou d'un autre, l'équipe a enrôlé 1 000 personnes de tous âges, sexes, lieux et niveaux d'éducation, et les a amenés à effectuer chacun 10 tests CAPTCHA sur ces sites.
Ils ont ensuite comparé leurs succès à ceux d'un certain nombre de bots codés par des chercheurs et publiés dans des revues dans le but de battre les tests CAPTCHA. Les résultats rendent la lecture embarrassante.
Pour les champs de texte déformés, les humains ont pris 9 à 15 secondes avec une précision de seulement 50 à 84 %. Les robots, quant à eux, réussissent les tests en moins d'une seconde avec une précision de 99,8 %.
« Il n'y a plus de moyen facile d'utiliser ces petits défis d'image ou quoi que ce soit pour faire la distinction entre un humain et un bot », a commenté Andrew Searles, membre de l'équipe, recommandant aux organisations d'utiliser des « algorithmes intelligents » pour trier les interactions des bots des interactions légitimes plutôt que CAPTCHA.
Shujun Li, professeur de cybersécurité à l'Université du Kent, a expliqué que l'explosion des méthodes avancées d'apprentissage automatique a rendu la défense obsolète.
« En général, en tant que concept, CAPTCHA n'a pas atteint l'objectif de sécurité et constitue actuellement davantage un inconvénient pour les attaquants moins déterminés », a-t-il déclaré. « De nouvelles approches sont nécessaires, comme des approches plus dynamiques utilisant l'analyse comportementale ».
Jess Leroy, directeur principal de la gestion des produits chez Google Cloud, a ajouté : « Nous nous concentrons de plus en plus sur la reconnaissance et l'interruption des activités malveillantes, qu'elles soient perpétrées par des bots ou des humains. Ainsi, nous sommes en mesure d'aider nos clients à prévenir les pertes alors même que les bots IA deviennent mieux se faire passer pour des humains. De plus, nous nous efforçons d'aider nos clients à protéger leurs utilisateurs sans montrer de défis visuels, c'est pourquoi nous avons lancé reCAPTCHA v3 en 2018. »
CAPTCHA ou pas CAPTCHA ? Gartner préconise leur utilisation
Gartner se livrait dans une analyse nuancée il y a deux ans, qui pourrait toujours toujours être d'actualité. À la question « faut-il ou non utiliser un CAPTCHA ? », un analyste a répondu :
ConclusionJe pense que oui. N'utilisez tout simplement pas la version Google "choisissez un panneau de signalisation dans cette matrice d'images" d'un CAPTCHA. Il existe de nombreux CAPTCHA beaucoup plus évolués disponibles aujourd'hui, comme Arkose Labs, GeeTest ou PerimeterX, qui ont leurs propres approches et nuances, mais font toujours un meilleur travail que la redoutable matrice d'images de trafic. Compte tenu de la pression pour réduire les faux positifs sur la plupart des entreprises de commerce numérique, donner aux utilisateurs une chance de prouver qu'ils sont humains et pas seulement les bloquer vaut la peine d'être exploré. Dans un monde où les mauvais acteurs utilisent des humains pour augmenter les robots, cependant, vous avez besoin d'un CAPTCHA suffisamment intelligent pour détecter quand les humains qui le résolvent sont un peu trop rapides – peut-être un signe qu'ils passent leur journée à résoudre ces choses encore et encore. Lorsque cela est détecté, le CAPTCHA devrait être rendu dynamiquement plus difficile pour décourager une telle activité et la rendre économiquement non viable. L'utilisation d'un CAPTCHA force également l'interaction avec l'utilisateur de manière contrôlée, permettant d'obtenir plus de télémétrie sur l'utilisateur et son niveau d'humanité.
N'utilisez pas CAPTCHA par défaut pour toutes les sessions. Comptez sur votre fournisseur de détection de bots pour repérer et bloquer la majeure partie du trafic de bots, et déployez simplement des CAPTCHA dans les véritables cas de zone grise où vous n'êtes pas sûr de l'humanité – je m'attendrais à ce que ce soit moins de 5 % de toutes les sessions avec certitude.
Et effectuez des tests A/B, divisez votre trafic et utilisez un CAPTCHA sur un seul segment et comparez les résultats – prenez des décisions basées sur des données et des mesures réelles, et non sur des idées préconçues basées sur des approches obsolètes telles que la matrice d'image du trafic.
Les CAPTCHA semblent être une technique obsolète et inefficace pour protéger les sites web contre les bots. Les chercheurs appellent donc à une réflexion sur l’avenir et la pertinence de ces tests, qui sont souvent source d’ennui et d’inconfort pour les utilisateurs. Ils invitent également les développeurs de sites web à se tenir informés des dernières avancées des bots et à tester régulièrement leurs CAPTCHA pour s’assurer qu’ils sont toujours efficaces.
Source : étude
Et vous ?
Quelle est votre opinion sur les CAPTCHA ? Les trouvez-vous utiles ou ennuyeux ?
Voir aussi :
Répondre avec citation
Partager