Discussion :

[Stéphane le calme]

« Les CAPTCHA ne nous reconnaissent pas comme des humains »,
des associations australiennes de personnes invalides veulent les voir disparaître du Web

Lorsque l'Université Carnegie-Mellon établissait une famille de tests de Turing dans le but de différencier de manière automatisée un utilisateur humain d'un ordinateur, le projet a été salué par le plus grand nombre. L'acronyme CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) a alors été adopté en masse sur des sites dynamiques de plus en plus nombreux. Le principe en lui-même est assez simpliste : un algorithme propose à l'internaute une combinaison de symboles qu'il doit reproduire pour avoir accès au système.

Seulement, quelques communautés en Australie s'érigent déjà contre ce procédé ; l'ACCAN (Australian Communications Consumer Action Network), les Blind Citizens Australia (association des aveugles), Australian Deafblind Council, Media Access Australia et Able Australia ont organisé une campagne pour faire disparaître les CAPTCHA.

La raison ? Selon eux les CAPTCHA ont du mal à les reconnaître comme des humains. Pour eux, les méthodes utilisées pour différencier les humains des machines sont frustrantes ; du texte délibérément occulté et parfois difficilement lisible pour ceux qui ont des problèmes de vue, sans parler des personnes victimes de troubles auditifs.

Teresa Corbin, présidente de l'association ACCAN, estime que « les CAPTCHA ne reconnaissent fondamentalement pas correctement les personnes handicapées comme des êtres humains. ».

D'ailleurs, un document du W3C daté de 2005 préconise d'autres méthodes de contrôle de spam, expliquant que, bien que l'approche des CAPTCHA s'avère souvent efficiente, elle rend l'utilisation du site plus complexe. Pourtant la version primitive de ces tests est disponible depuis 1997 et en l'an 2000 la notion de CAPTCHA fait son entrée sur la scène.

Les associations continuent leur combat pour faire ôter ce système du net et recommandent aux développeurs une méthode alternative aux tests visuels de Turing : « si l'utilisateur est déjà inscrit sur le site, il faudrait lui envoyer via courriel un lien d'activation. » Précisons que cette méthode n'est identifiée nul part dans le document du W3C.

Source : W3C

Et vous ?

Qu'en pensez-vous ? La méthode décrite par les associations vous semble-t-elle sécuritaire ?

Avez-vous déjà utilisé des CAPTCHA lors de vos développements ?

Préférez-vous ce système de filtrage à un autre ou est-ce par habitude ?

[Mr_Exal]

Qu'en pensez-vous ? La méthode décrite par les associations vous semble-t-elle sécuritaire ?

Les Captcha sont une sécurité efficace, mais très contraignant pour les utilisateurs. Quand ceux ci sont lisibles ou reproductibles ils sont parfois longs comme le bras ...

Avez-vous déjà utilisé des CAPTCHA lors de vos développements?

Oui pour des inscriptions sur un site web.

Préférez-vous ce système de filtrage à un autre ou est-ce par habitude ?

C'est un système efficace mais contraignant. Maintenant il existe des "CAPTCHA" sous forme de mini jeux vidéos HTML5 qui peuvent aussi être utilisés.

[BenoitM]

Les Captcha sont une sécurité efficace, mais très contraignant pour les utilisateurs. Quand ceux ci sont lisibles ou reproductibles ils sont parfois longs comme le bras ...

Comment connais tu leur éfficacités?
Bon ca rend le travaille du hacker un peu plus complexe mais j'ai un doute que se soit si inviolable.

Au debut il s'agisait des simples textes à retranscrire, puis d'images ensuite des images transformés qui sont maintenant parfois tellement illisible que même moi je n'arrive qu'à les déchiffrés une fois sur trois
Résultat on a mis une partie audio mais quand je vois la prise de SMS via le mode vocal des smartphones je me dis que si on le veut vraimment ca ne doit pas être si difficile à passer outre cette protection
Certe implémenter cette solution demande beaucoup d'effort pour s'adapter à chaque site mais ne me semble pas si complexe à mettre en oeuvre

[dolu02]

Je l'ai souvent mis en place mais sur des sites avec peu de spam et d'utlisateurs.

Quelqu'un a un retour d'expérience sur la méthode "honeypot" à partager?

[ymoreau]

Quelqu'un a un retour d'expérience sur la méthode "honeypot" à partager?

J'avais mis ça en place y'a 5-6 ans au moins et ça marchait vraiment très bien, plus aucun spam. Mais comme le dit l'article il suffit que la technique se généralise pour que les robots s'y adaptent. Je ne sais pas si elle est encore efficace aujourd'hui.

[esperanto]

J'avais mis ça en place y'a 5-6 ans au moins et ça marchait vraiment très bien, plus aucun spam. Mais comme le dit l'article il suffit que la technique se généralise pour que les robots s'y adaptent. Je ne sais pas si elle est encore efficace aujourd'hui.

Le meilleur des anti-spam, c'est... celui que vous êtes le seul à utiliser.
Pour prendre un exemple caricatural, le captcha proposé par PhpBB est totalement inefficace, parce que justement les spammeurs se sont fait un malin plaisir de s'attaquer à celui-là en priorité.
Confronté au problème il y a quelques années, j'avais opté successivement pour les techniques suivantes :
- ajouter un champ "êtes-vous un spammeur", coché oui par défaut (si si je vous jure ça a marché un temps!)
- création d'un forum spécial pour les spammeurs, affiché uniquement pour les personnes connectées : comme les spammeurs balancent toujours leur fiel sur le premier forum qu'ils trouvent, c'est celui-là qui était envahi et les autres étaient tranquilles. Il me suffisait ensuite de désinscrire les personnes intéressantes du groupe "spam" pour qu'elles ne le voient pas plus que les personnes non-connectées.
Dans les deux cas ça a bien marché deux ou trois ans, ensuite ils ont compris et j'ai dû trouver autre chose. Si vous avez des idées...

[imikado]

Le meilleur des anti-spam, c'est... celui que vous êtes le seul à utiliser.
Pour prendre un exemple caricatural, le captcha proposé par PhpBB est totalement inefficace, parce que justement les spammeurs se sont fait un malin plaisir de s'attaquer à celui-là en priorité.
Confronté au problème il y a quelques années, j'avais opté successivement pour les techniques suivantes :
- ajouter un champ "êtes-vous un spammeur", coché oui par défaut (si si je vous jure ça a marché un temps!)
- création d'un forum spécial pour les spammeurs, affiché uniquement pour les personnes connectées : comme les spammeurs balancent toujours leur fiel sur le premier forum qu'ils trouvent, c'est celui-là qui était envahi et les autres étaient tranquilles. Il me suffisait ensuite de désinscrire les personnes intéressantes du groupe "spam" pour qu'elles ne le voient pas plus que les personnes non-connectées.
Dans les deux cas ça a bien marché deux ou trois ans, ensuite ils ont compris et j'ai dû trouver autre chose. Si vous avez des idées...

J'aime beaucoup, c'est tout bête, mais effectivement le fait de laissé un case coché (qui pourrait tourner) : vous êtes un robot/une machine... ?
Tout bête, mais si le nom de la variable et du libellé change régulièrement, ça peut être très efficace
Idem d'avoir deux cases: une négative et une positive
vous etes un robot (coché), et vous êtes une personne (non coché) et vérifier la cohérence des deux

[Jipété]

Bonjour,

(...) Dans les deux cas ça a bien marché deux ou trois ans, ensuite ils ont compris et j'ai dû trouver autre chose. Si vous avez des idées...

Techniquement parlant, comment est-ce possible, ce « ensuite ils ont compris » ?

Ces foutus robots doivent bien se vautrer également sur d'autres sites ?
Ils ont compris qu'ils ne pouvaient pas accéder à ton site, ils en ont déduit que le site était bien protégé, ils ont fait remonter à un humain pour qu'il analyse ?

Moi j'aimerais juste comprendre, merci.

[imikado]

Bonjour,


Techniquement parlant, comment est-ce possible, ce « ensuite ils ont compris » ?

Ces foutus robots doivent bien se vautrer également sur d'autres sites ?
Ils ont compris qu'ils ne pouvaient pas accéder à ton site, ils en ont déduit que le site était bien protégé, ils ont fait remonter à un humain pour qu'il analyse ?

Moi j'aimerais juste comprendre, merci.

Il y a toujours un humain derrière un robots, après peut-etre ont-ils des rapports du nombre de succès/echec sur les sites.
Ils analysent surement quelques echec pour améliorer leur robots.

[jiber2fr]

Quelqu'un a un retour d'expérience sur la méthode "honeypot" à partager?

Ca marche très bien, mais ça dépend du site en question et de la menace que tu veux éviter. Si tu veux éviter les bots qui parcourent le web pour polluer tous les formulaires qu'ils trouvent, ça fonctionne impecc: personnellement, je cache un champ avec un 'name' qui fait penser que le champ est tout ce qu'il y a de plus normal (du genre 'telephone' ou 'adresse', ou n'importe quelle info dont je n'ai pas réellement besoin). Si le champ est rempli, alors le formulaire est rejeté.

Par contre, ça ne fonctionne pas pour contourner les robots spécifiques à ton site. Par exemple, sur un site pour un jeu-concours, quelqu'un a développé un bot spécifiquement pour ce site (il y avait une espérance de gain à la clé), et a bien entendu contourné le pot de miel. Donc si tu crains que quelqu'un s'intéresse spécifiquement à ton site, je n'ai pas trouvé mieux que le captcha.

[pseudocode]

Le problème avec le Captcha, c'est que ca ne sécurise que l'endroit où on le met.

S'il y en a un seulement au formulaire d'inscription, il peut être contourné une fois par un humain et ensuite le robot a accès au site tant qu'il veut.

S'il y en a un à chaque login, ca devient gênant pour l'utilisateur légitime.

Pour moi, le Captcha ce n'est qu'une première ligne de défense. Elle ne doit pas être trop compliquée, et surtout elle ne doit pas être la seule.

[Tlams]

Gérant plusieurs forums, j'ai eu droit au problèmes de spam/bots.
En fait les vrais bots sont assez faciles à bloquer, le plus dur sont les "bot-humain-russe" ! Là le captcha est totalement inutile...

La seule solution efficace à pratiquement 100% pour les deux, c'est les questions à l'enregistrement. Pas de simples questions car ils les traduisent (Oui, oui!), mais des questions écrites de façon phonétique.
Le seul problème c'est que sa bloque aussi les éventuels internautes "normaux" non-francophones.

Exemple réels:
Kel é la couleur du cask Noir de DarkVador?
le feu és-il chod ou froid?
Complet le nom du présidant francé suivent: François ?????

[imikado]

Le problème avec le Captcha, c'est que ca ne sécurise que l'endroit où on le met.

S'il y en a un seulement au formulaire d'inscription, il peut être contourné une fois par un humain et ensuite le robot a accès au site tant qu'il veut.

S'il y en a un à chaque login, ca devient gênant pour l'utilisateur légitime.

Pour moi, le Captcha ce n'est qu'une première ligne de défense. Elle ne doit pas être trop compliquée, et surtout elle ne doit pas être la seule.

les captcha evites le spam des bots et les eventuels ddos il faut effectivement les mettre sur tout formulaire ajoutant/modifiant des données

[Neckara]

Pour lutter contre le spam de bot, on peut aussi mettre un temps minimum entre chaque post (30 secondes pour DVP par exemple) et interdire le post de message identique.
Cela permet déjà de limiter les effets du spam.

J'avais un petit forum qui n'avait pas reçu de visite depuis quelques mois, il a été floodé d'environ 1 000 messages de spams en 2 jours à peine.
Pouvoir supprimer facilement plusieurs sujets à la suite, pouvoir en supprimer 50 en deux clics est alors très utile

Une autre méthode est de regarder l'adresse mail donnée et de voir si elle a été signalée pour spam sur des sites dédiés à cet effet. cela peut déjà faire un premier tri.

[SylvainPV]

Les Captcha sont une très mauvaise solution anti-machine. Plus on avance sur les progrès faits sur les logiciels de reconnaissance de caractères, plus les captcha doivent être difficiles à déchiffrer. Au final, selon certaines études les meilleurs logiciels d'analyse se trompent moins souvent sur le déchiffrage d'un captcha qu'un humain. C'est donc complètement inefficace et contre-productif, en plus de rebuter la plupart des utilisateurs.

Je vois deux alternatives :
1) utiliser des tests de logique visuelle ou de culture générale. Sur mon dernier projet, on a rédigé 100 questions de culture générale très simples. Une question est tirée au sort et doit être répondue par l'utilisateur au milieu du formulaire. C'est beaucoup moins contraignant, par contre on exclut potentiellement certains utilisateurs qui auraient des connaissances extrêmement limitées (enfin vu la gueule des questions, c'est pas une grande perte)

2) plutôt que de discriminer machines et humains, réfléchir à pourquoi on le fait et comment on pourrait le faire autrement. S'il s'agit de limiter le spam ou les attaques, d'autres mécanismes peuvent être utilisés en aval côté serveur pour s'en prémunir.

[Darkzinus]

Il faut avouer que c'est parfois la misère pour déchiffrer ces caractères. Pourtant ma vision est excellente donc je n'imagine même pas pour les malvoyants la galère

[grunk]

Un bon captcha à en principe une version visuelle et une version audio de telle sorte qu'un mal voyant pourrait avoir une dictée du captcha (sous réserve d'accessibilité du bouton , etc ...).

Après effectivement si on est sourd et aveugle ça devient un peu plus compliqué et je vois d'ailleurs pas comment on peut surfer sur le web dans ces conditions.

Personnellement j'opte souvent pour le "honey pot" qui consiste à masquer un ou plusieurs champs en css (donc l'utilisateur ne le voit pas) qu'un robot va s'empresser de remplir.

Du coup au traitement si le champ caché est rempli => robots , sinon humain. J'avoue que ça marche plutôt bien.
Après dans le cas d'une attaque spécifiquement dirigé sur mon site , c'est nettement moins efficace qu'un captcha puisque bien plus facilement contournable (omettre un champs ou codé un ocr c pas tout à fait pareil ).

C'est beaucoup moins contraignant, par contre on exclut potentiellement certains utilisateurs qui auraient des connaissances extrêmement limitées

Je m'en vais de ce pas contacter l'association des cancres qui se fera un plaisir de raler

Pour en revenir au captcha certains sont plus qu'un simple test. Chez Google par exemple il permettent d'améliorer leur OCR , certains embarque de la pub, bref ils ont une valeur ajoutée et je trouve ça particulièrement intéressant.

[sevyc64]

Ces CAPTCHA sont une véritable plaie.

Soit ils sont un minimum lisible et les algorithmes d'analyse d'image (et donc les robots) arrive à les traiter relativement correctement, soit ils sont résistant aux robots et totalement illisibles pour l'homme.

J'en ai même rencontré de rose sur fond vert, comme dans les tests chez l'opticien. Si c'est pas se foutre de la gueule du monde, là!

Et en plus ça fait perdre un temps phénoménal cette m***.

Bref, je suis absolument et vigoureusement contre. Et je n'ai pas de solution de remplacement.

[LooserBoy]

Jouant à un jeu en pages web, ils se sont mis à en mettre pour éviter que des bots ne jouent à la place de vrais joueurs.
Ce qui est, dans le principe, louable de leur part car certains joueurs avaient des progressions complètement hallucinantes, même pour des comptes tenus par des personnes qui se relaient. Aucun temps de latence, les navires, revenus d'une petite escapade, repartaient dans la seconde, systématiquement.

J'ai essayé d'en avoir un pour montrer ce que ça donne mais ils sont demandés de manière aléatoires. Parfois, je suis plus d'une demi journée sans en voir et parfois j'en ai 4/5 à la suite dans l'heure.

[EDIT]Voici ce que ça peut donner:

[/EDIT]

J'ai une assez bonne vue, aucun problème de daltonisme et pourtant, je n'arrive pas à les déchiffrer 1 coup sur 3 car ils jouent sur la transparence des lettres/chiffres, leur forme (parfois un Y ressemble à un V et vice versa) et la couleur du symbole et du fond.

Il n'y a, de plus, pas de possibilité d'avoir la retranscription en audio. Accessibilité: 0.

J'ai un ancien membre de ma guilde qui est daltonien. Il a un taux de reconnaissance absolument dramatique (1/10 d'après lui) et ne peut donc plus accéder normalement à une fonctionnalité protégée par ce système importante pour le gameplay.
Elle permet de gagner des ressources lors d'une compétition. C'est intéressant de pouvoir limiter les pillages, donc les incidents diplomatiques et la jouer plus commerçant ou avec un peu d'expérience, fonctionner en autarcie, de venir en aide aux petits camarades,... Ça l'en a dégoûté.

Alors les captcha, voilà ce que j'en pense :



Jamais utilisé sur mes dévs, jamais eu besoin et heureusement.

La méthode présentée ne me semble pas mieux.

La solution d'une petite question de logique me semble assez pertinente comme le présente imikado.

[goomazio]

Pour en revenir au captcha certains sont plus qu'un simple test. Chez Google par exemple il permettent d'améliorer leur OCR , certains embarque de la pub, bref ils ont une valeur ajoutée et je trouve ça particulièrement intéressant.

Bien joué Google. Faire déchiffrer les mots que l'OCR ne comprend pas aux internautes, sous formes de Captchas, c'est bien trouvé.