Commençons par expliquer d’où vient le mot « captcha ». Il s’agit d’un acronyme pour « Completely Automated Public Turing test to tell Computers and Humans Apart. » L’idée derrière la technologie Captcha (et également derrière le test de Turing original) est simple : il s’agit d’un test que les humains sont capables de réussir, les robots en ligne non. Captcha se présente souvent sous la forme d’une image texte déformée que l’utilisateur doit de nouveau taper afin de vérifier qu’il ne s’agit pas d’un ordinateur.
La technologie Captcha est importante car elle assure une sécurité simple et pratique pour une grande variété d’actions, telles que protéger l’authentification sur certains sites Web, prévenir le spamming dans les commentaires de blogs ou encore s’assurer que seul des humains participent à certaines enquêtes en ligne.
Les premières versions de Captcha ont été relativement faciles à contourner pour les ordinateurs. On a donc assisté à un bras de fer entre les pirates et les développeurs Captcha. Dès qu’une version de Captcha était déjouée par les pirates, les développeurs en sortaient une nouvelle, plus puissante.
"Google's ReCaptcha is simplest way of getting rid of bots. No math problems required!" @jgamboa #WPEProTip pic.twitter.com/bPOegSbmbz
— WP Engine (@wpengine) April 14, 2016
Google est alors intervenu et a sorti reCAPTCHA qui est désormais considéré comme la norme en matière de Captcha. Il utilise aussi bien du texte que des images déformées et c’est pourquoi il est considéré comme l’un des services de Captcha les plus performants. La technologie reCAPTCHA de Google est utilisée par Google lui-même, mais aussi par Facebook et bien d’autres sites Web, comme un moyen de se protéger contre les spams et les abus. reCAPTCHA est d’ailleurs le fournisseur de Captcha le plus populaire au monde.
Malheureusement, il semble que la technologie ne soit pas aussi infaillible qu’on pensait.
Les chercheurs en sécurité de l’université de Columbia ont découvert des failles dans la technologie reCAPTCHA de Google qui permettent aux pirates d’influencer l’analyse de risque et les restrictions de contournement ainsi que de mettre en œuvre des attaques à grande échelle.
Les chercheurs ont affirmé qu’ils avaient réussi à concevoir, pour un coût moindre, des attaques qui leur avaient permis de résoudre 70% des défis de reCAPTCHA, et chaque défi pouvait en moyenne être résolu en 19 secondes. Ils ont également utilisé le même système pour les images Captcha de Facebook et ont obtenu un taux de réussite de 83,5%. Selon eux, la réussite plus élevée sur Facebook est due au fait que les images de Facebook disposent d’une plus haute résolution.
Le système avait recours à des techniques qui permettaient de contourner les cookies et les tokens et il utilisait l’apprentissage machine afin de deviner correctement les images. Le plus drôle est que ce système se base sur la propre recherche inversée d’images de Google et elle peut également fonctionner hors-ligne.
« Néanmoins, complètement hors-ligne, notre système de piratage de Captcha est comparable à un service de résolution de problèmes professionnels aussi bien en matière de précision qu’en matière de durée. Son avantage : il ne coûte rien au pirate », ont affirmé les chercheurs, tout en insistant sur la simplicité et le rapport coût-efficacité de cette attaque singulière.
Avant que leurs résultats ne soient rendus publics, les chercheurs ont alerté Google et Facebook afin de les informer de potentielles failles. Ils ont déclaré que Google avait répondu en tentant d’améliorer la sécurité de reCAPTCHA mais que Facebook ne semblait pas avoir amélioré son service.
Best captcha I've seen for a while. pic.twitter.com/tVvbwjmTLC
— Siddharth Vadgama (@siddvee) April 12, 2016
Les chercheurs pensent que les pirates pourraient raisonnablement demander entre 2 et 1000 euros pour chaque Captcha résolu, et qu’ils pourraient donc gagner près de 100 euros par jour. Ils pourraient même gagner plus d’argent s’ils lançaient plusieurs attaques en même temps ou s’ils utilisaient des techniques additionnelles.
L’étude montre qu’il reste encore beaucoup à faire dans le monde de la cybersécurité. Elle donne également l’opportunité à de nombreuses entreprises, telles que Google, d’avancer et d’étudier de plus près leurs mesures de sécurité actuelles. Google a déjà prouvé qu’il voulait renforcer sa sécurité et nous espérons que d’autres sites Web feront de même.