Impressum

Pour ou contre les CAPTCHA ?

CAPTCHA : Completely Automated Public Turing test to Tell Computers and Humans Apart
lundi 12 avril 2010
par  François Daniel Giezendanner
popularité : 5%
0 vote

Dernière mise à jour : jeudi 27 juin 2013

 Notre problématique

Les captcha sont décriés pour leur non conformité du point de vue accessibilité.

Certes, mais quoi qu’on en dise concernant leur efficacité ou leur manque d’efficacité, ils sont tout de même bien utiles pour éviter un certain nombre d’attaques de spammeurs.

Le plugin captcha pour SPIP se révélait très utile/efficace avec SPIP 1.9.x. Nous regrettons qu’à ce jour il n’ait pas été adapté pour SPIP 2.0.x et SPIP 2.1.

La réflexion est ouverte sur le Web quant à la pertinence d’utiliser les Captcha, on lira avec profit les excellents articles du W3C « L’inaccessibilité des CAPTCHA » et de Wikipédia « Captcha », ainsi que divers dialogues comme par exemple ici :

Dans l’un de ses messages, Cédric Morin (CM) déclare :

Au sujet des CAPTCHA, et en ce qui me concerne, le débat est clos depuis longtemps : c’est une réponse d’informaticien à un problème d’informaticien, au seul détriment des utilisateurs. Autrement dit parce que les développeurs versent dans la facilité et n’ont aucune envie de se compliquer la vie, ils reportent le problème et ses inconvénients sur les utilisateurs.

Donc c’est une très bonne solution pour arriver à se débarrasser des utilisateurs en même temps que du SPAM, les-dits utilisateurs migrant au long terme vers des sites où ils sont mieux considérés.

Le nivellement pas le bas n’est pas une option défendable à mon sens.

Chacun jugera l’intérêt du Captcha en fonction de son analyse et de son expérience, le fait est qu’il est loin d’être une technologie obsolète au vu des nombreux sites, et pas des moindres, qui l’utilisent intensivement.

et je vous invite à la lecture de quelques autres articles intéressant qui traitent du sujet.

Aujourd’hui jeudi 27 juin 2013 nous faisons un appel à la communauté SPIP pour mettre à jour ses plugins Captcha :


 Information sur les CAPTCHA

Selon Wikipédia :

Un captcha est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d’un ordinateur.

Parce que le test est réalisé par un ordinateur, en opposition avec les tests de Turing standard réalisés par des humains, un captcha est souvent décrit comme un test de Turing inversé. Ce terme est néanmoins ambigu parce qu’il pourrait aussi signifier que les participants essaient de prouver qu’ils sont des ordinateurs.

 À propos du nom

« Captcha » est un rétro-acronyme : le mot se prononce comme capture en anglais et est censé être composé des initiales de :

« Completely Automated Public Turing test to Tell Computers and Humans Apart »

soit en français :

«  test public de Turing complètement automatique ayant pour but de différencier les humains des ordinateurs ».

Ce terme, qui est une marque déposée par l’université Carnegie Mellon, a été inventé en 2000 par Luis von Ahn, Manuel Blum et Nicholas J. Hopper de cette université, et par John Langford d’IBM. Le nom « captcha » peut également être interprété comme « Catcha » ou « Gotcha », qui signifient « Je t’ai eu ».

 Applications

Ce test est utilisé sur Internet dans les formulaires pour se prémunir contre les soumissions automatisées et intensives réalisées par des robots malveillants.

La vérification utilise la capacité d’analyse d’image ou de son de l’être humain. Un captcha usuel requiert ainsi que l’utilisateur tape les lettres et les chiffres visibles sur une image distordue qui apparait à l’écran. Certains sites Web préfèrent afficher une image qui contient une question mathématique.

Ils sont utilisés :

  • contre le spam :
    • lors de l’inscription à des webmails gratuits (dont les comptes pourraient être utilisés par la suite pour l’envoi de courriers non sollicités),
    • lors de la soumission de messages dans des forums de discussion et des blogs (qui pourraient permettre de faire du spamdexing), etc. ;
  • contre l’extraction automatisée de bases de données ;
  • contre les tentatives d’attaque par force brute ;
  • pour la participation à des sondages (dont les résultats pourraient être faussés par des votes automatisés).
GIF - 44.9 ko

 Accessibilité

...Pour les personnes déficientes visuelles (comme les utilisateurs aveugles ou ayant des difficultés à la perception des couleurs), les captcha visuels présentent de sérieuses difficultés. Du fait que les captcha sont conçus pour ne pas être lus par les machines, les outils courants d’aide comme les lecteurs d’écran ne peuvent pas les interpréter ... Dans certaines juridictions, les propriétaires de sites peuvent devenir la cible de litiges s’ils utilisent des captcha qui discriminent les gens ayant certains handicaps...

Même pour des personnes parfaitement voyantes, les nouvelles générations de captcha, conçues pour résister aux logiciels sophistiqués de reconnaissance, peuvent devenir pratiquement impossibles à lire.

PNG - 1.8 ko

Un rapport du W3C a souligné l’inaccessibilité de certains tests visuels anti-robots.

 Contournement

Il y a plusieurs approches pour mettre en échec un captcha :

  • utiliser une main-d’œuvre humaine pour les reconnaître ;
  • exploiter les bogues dans les implémentations qui permettent à l’attaquant de passer complètement outre le captcha ;
  • améliorer les logiciels de reconnaissance de caractères.

 Captcha cracking -1-

Depuis quelques bannés les captchas sont devenus vulnérables. Les articles ci-dessous en donnent une petite illustration :

  • CAPTCHA is an annoying little test you run into at the end of making an account. It keeps robots and people who can’t read spin-art twisted words from making an account.
    http://www.cracked.com/funny-3168-captcha/
  • La mort des CAPTCHA : Comment les pirates arrivent-ils à les casser ?
    Auteur : Nicolas Kerschenbaum, consultant sécurité XMCO, Couriel : Nicolas.Kerschenbaum xmco.fr, Date : 20/06/2008
    http://www.xmco.fr/article-captcha.html Version complète en PDF : Actusécu n°19

 Captcha cracking -2-

 Captcha cracking -3- Les chercheurs de l’université de Stanford ...

  • Researchers crack Microsoft, eBay, Yahoo, Digg audio captchas
    Other sites are vulnerable to Decaptcha code created by researchers
    By Tim Greene, Network World, May 24, 2011 11:15 AM ET
    Researchers have figured out how to to crack captchas, making it possible to launch automated attacks against sites such as Microsoft, eBay and Digg where opening phony accounts could be turned into cash.
    http://www.networkworld.com/news/2011/052411-researchers-captcha.html
  • Briseur de captcha automatisé
    Publié le 04-11-2011 à 00:05:19 dans le thème Authentification
    Des chercheurs de l´université de Stanford mettent au point un outil automatisé qui passe outre les sécurités captcha. Les captchas, des systèmes de contrôle ayant pour mission de s’assurer que l’internaute qui lance une recherche, s’inscrit sur votre site ou post un message sur votre blog est bien un humain. Le captcha propose des lettres, des chiffres, voir des images que l’internaute doit reproduire afin de continuer son action.
    http://www.zataz.com/news/21679/break-captcha.html

 Captcha cracking -4-

  • Inside India’s CAPTCHA solving economy
    By Dancho Danchev | August 29, 2008, 12:07pm PDT
    Summary : No CAPTCHA can survive a human that’s receiving financial incentives for solving it, and with an army of low-waged human CAPTCHA solvers officially in the business of “data processing” while earning a mere $2 for solving a thousand CAPTCHA’s, I’m already starting to see evidence of consolidation between India’s major CAPTCHA solving companies. The consolidation [...]
    http://www.zdnet.com/blog/security/inside-indias-captcha-solving-economy/1835

 Alternatives au Captcha

Il existe plusieurs méthodes alternatives à la technique du Captcha et l’article du W3C « L’inaccessibilité des CAPTCHA » en fait une excellente présentation. De son côté, Xavier de BRABOIS dans son article « En finir avec les Captcha » nous parle d’une méthode alternative simple à la technique des Captcha, il s’agit du ...

...recours à des questions logiques tournantes. Une question aléatoire est posée, dont la réponse est évidente pour un homme, mais pas pour une machine :

  • Combien font 2 et 2 (en chiffre) ?
  • Quelle est la couleur du cheval blanc d’Henri IV ?
  • Quel est le prénom de Louis de Funès ?
  • Ecrivez 5 en toutes lettres :
  • Quelles est la couleur d’une orange ?

Ces questions simples sont conformes WAI [1], et sont certainement plus efficaces, plus confortables, voire plus amusantes que les hideux Captcha. vous aussi, bannissez donc les captcha, et inventez vos questions les plus absurdes qui dérouteront les moteurs de recherche.


 Captcha et anti-spam pour SPIP


 Captcha pour LimeSurvey


 Description et problématiques du CAPTCHA

  • L’inaccessibilité des « CAPTCHA »
    PNG - 1.8 ko

Solutions de rechange aux tests de Turing sur le Web
Note de groupe de travail du W3C du 23 novembre 2005
Une méthode courante pour limiter l’accès aux services disponibles sur le Web est celle constituée par la vérification visuelle d’une image pixelisée. Elle se révèle un problème majeur pour les utilisateurs qui sont aveugles, souffrent d’une mauvaise vue ou pâtissent d’une difficulté cognitive telle que la dyslexie. Ce document présente quelques solutions potentielles permettant aux systèmes de vérifier la nature humaine de leurs utilisateurs tout en préservant l’accès des personnes handicapées.
http://www.yoyodesign.org/doc/w3c/turingtest-20051123/

  • Captcha
    JPEG - 7 ko

Un article de Wikipédia, l’encyclopédie libre.
Ce captcha de « smwm » rend difficile son interprétation par un ordinateur en modifiant la forme des lettres et en ajoutant un dégradé de couleur en fond.
Un captcha est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d’un ordinateur.
Parce que le test est réalisé par un ordinateur, en opposition avec les tests de Turing standard réalisés par des humains, un captcha est souvent décrit comme un test de Turing inversé. Ce terme est néanmoins ambigu parce qu’il pourrait aussi signifier que les participants essaient de prouver qu’ils sont des ordinateurs.
http://fr.wikipedia.org/wiki/Captcha

  • W3C : L’inaccessibilité des « CAPTCHA » : Solutions de rechange aux tests de Turing sur le Web
    PNG - 1.8 ko

jeu 08 dec ’05 à 00:39 dans la rubrique Techno du web
http://moosh.et.son.brol.be/blog/index.php/2005/12/08/178-w3c-l-inaccessibilite-des-captcha-solutions-de-rechange-aux-tests-de-turing-sur-le-web

  • Web Content Accessibility Guidelines (WCAG) 2.0
    Lead translating organization : Association BrailleNet, INSERM - UPMC B23, 9 quai Saint Bernard, 75252 Paris Cedex 05.
    http://www.w3.org/Translations/WCAG20-fr/
    PNG - 1.8 ko
  • Captcha et accessibilité
    Par Onesque le jeudi, avril 27 2006, 22:28
    [http://www.onesque.net/blog/index.php/post/2006/04/27/125-captcha-et-accessibilite->http://www.onesque.net/blog/index.php/post/2006/04/27/125-captcha-et-accessibilite
    Des chercheurs de l’Université Carnegie Mellon ont inauguré cette méthode qu’ils ont appelée CAPTCHA (Completely Automated Public Turing test to Tell Computers and Humans Apart, ou Test de Turing public entièrement automatique pour distinguer les ordinateurs des humains en français) .
    Une méthode courante pour limiter l’accès aux services disponibles sur le Web est celle constituée par la vérification visuelle d’une image pixelisée. Elle se révèle un problème majeur pour les utilisateurs qui sont aveugles, souffrent d’une mauvaise vue ou pâtissent d’une difficulté cognitive telle que la dyslexie. Ce document présente quelques solutions potentielles permettant aux systèmes de vérifier la nature humaine de leurs utilisateurs tout en préservant l’accès des personnes handicapées.
    http://moosh.et.son.brol.be/blog/index.php/2005/12/08/178-w3c-l-inaccessibilite-des-captcha-solutions-de-rechange-aux-tests-de-turing-sur-le-web
  • Les captchas anti-bot
    PNG - 7.3 ko

Votre site est envahi par des inscriptions de bots (des robots qui s’inscrivent plusieurs fois à des sites dans le but de publier des messages publicitaires sur un livre d’or ou un forum, ou pour utiliser des comptes mail, ...)
Il existe de nombreuses solutions pour empêcher les bots d’agir : dans ce tutoriel, vous apprendrez à en coder quelques-unes en PHP.
En plus de vous apprendre à créer des captchas, ce cours va vous apprendre- je l’espère – des outils méconnus de PHP et des notions informatiques un peu plus complexes . Vous apprendrez dans le premier chapitre comment réaliser un captcha simple en texte sous la forme d’une question, vous y découvrirez comment manipuler le hasard avec PHP et comment générer des chaînes de caractères aléatoires.
Dans le deuxième chapitre, nous nous concentrerons sur la librairie GD, et sur quelques fonctions intéressantes : utiliser une police true type, et créer des effets : rotations, flous avec des matrices de convolution.
Enfin, dans le troisième chapitre, on aborde la manipulation de données binaires : d’abord la théorie et ensuite, la pratique avec PHP.
http://www.siteduzero.com/tutoriel-3-56201-les-captchas-anti-bot.html

  • WCAG 2.0, attention cet article n’est pas AAA
    GIF - 3.3 ko

décembre 15th, 2008
http://nicolas.cynober.fr/blog/118,wcag-20-attention-cet-article-n%E2%80%99est-pas-aaa.html

  • Script Megaupload auto-fill captcha : Remplir automatiquement le Captcha de MégaUpload
    C’est un peu ironique que les utilisateurs cherchent des moyens pour remplir automatiquement les captchas pour gagner du temps. Les captchas ont été inventés pour empêcher les accès aux pages Web automatiquement. La plupart des captchas sur l’Internet sont soit facilement désactivables par les algorythmes (et oui même les équations mathématiques de base peuvent être résolus automatiquement).
    Megaupload est un site d’hébergement sur Internet qui affiche un captcha avant le lien de téléchargement d’un fichier sera affiché sur leur site. Le captcha de Megaupload est probablement l’un des plus faciles à reconnaître et de compléter. Plutôt de lire et remplir inutilement ces captchas, génant pour les utilisateurs qui téléchargent des fichiers à partir de Megaupload régulièrement.
    Megaupload auto-fill captcha est un script Greasemonkey pour Mozille Firefox (et d’autres navigateurs compatibles) qui va automatiquement remplir et envoyer le captcha sur Megaupload. Cela signifie que l’utilisateur n’a pas à entrer dans le captcha, ni cliquer sur un bouton pour l’envoyer au serveur Megaupload. Il se sent presque comme s’il n’y avait pas un captcha sur Megaupload du tout.
    http://www.khanh-blog.com/article-remplir-automatiquement-le-captcha-de-megaupload—39434214.html

[1] Web Accessibility Initiative : L’initiative sur l’accessibilité du Web ou Web Accessibility Initiative (WAI) fut lancée en avril 1997 par le World Wide Web Consortium (W3C).
La principale mission de la WAI est de proposer des solutions techniques pour rendre le World Wide Web accessible aux personnes handicapées et d’une manière plus générale à toute personne sans nécessiter de prérequis particulier.


Commentaires  (fermé)

Logo de Seb
vendredi 24 septembre 2010 à 13h47, par  Seb

Je pense que les méthodes que vous décrivez comme un calcul ou une question simple sont plus pratiques qu’un captcha qui parfois sont à peine lisible par un humain. porn

Publications

Derniers articles publiés

Agenda

<<

2017

 

<<

Octobre

 

Aujourd'hui

LuMaMeJeVeSaDi
2526272829301
2345678
9101112131415
16171819202122
23242526272829
303112345
Aucun évènement à venir les 6 prochains mois

Météo

Ville(SZXX0013)

Conditions météo à 0h0
par weather.com®

Inconnu

°C


Inconnu
  • Vent :  km/h - N/D
  • Pression :  mbar tendance symbole
Prévisions >>


Annonces

Embed Twitter « responsive tools »

Pour le faire sur votre site


Embed Twitter « RWD »

Pour le faire sur votre site


Embed Twitter dans SPIP

Pour le faire sur votre site


Sites favoris


9 sites référencés dans ce secteur

Brèves

Mise à jour de sécurité SPIP 2.1.10 du 7 avril 2011

mardi 19 avril 2011

...et oui encore une nouvelle version de SPIP (SPIP 2.1.10) disponible suite à la découverte d’une faille par Arnault.

Cette faille concerne les branches 2.0 et 2.1 et peut permettre à un rédacteur de déconnecter le site de sa base de données.

PIWIK succède à PhpMyVisites pour SPIP 2

jeudi 8 janvier 2009

L’analyseur de trafic web PhpMyVisite en plugin pour SPIP 1.9x a maintenant un magnifique successeur très performant pour SPIP 2, il s’agit du plugin PIWIK :