Les éditeurs d'unCaptcha affirment qu'il est capable de battre reCAPTCHA v3 de Google
En se servant du captcha audio
Le 2019-01-07 14:07:51, par Stéphane le calme, Chroniqueur Actualités
Fin octobre, Google a annoncé la troisième version de reCAPTCHA, une mise à jour de l’API qui vous aide à détecter le trafic abusif sur votre site Web sans interaction de l’utilisateur. Au lieu d'afficher un défi CAPTCHA, reCAPTCHA v3 renvoie un score afin que vous puissiez choisir l'action la plus appropriée pour votre site Web.
Une expérience utilisateur sans friction
ReCAPTCHA n'a cessé d'évoluer au cours de la dernière décennie. Dans reCAPTCHA v1, il était demandé à chaque utilisateur de relever un défi en lisant un texte déformé et en le saisissant dans une zone. Pour améliorer à la fois l'expérience utilisateur et la sécurité, Google a proposé reCAPTCHA v2 et commencé à utiliser de nombreux autres signaux pour déterminer si une requête provenait d'un humain ou d'un robot. Cela a permis aux défis reCAPTCHA de passer d'un rôle dominant à un rôle secondaire dans la détection des abus, laissant environ la moitié des utilisateurs passer en un clic. À présent, avec reCAPTCHA v3, Google modifie fondamentalement la façon dont les sites peuvent déterminer si les activités sont menées par des humains ou des robots en renvoyant un score pour vous indiquer à quel point une interaction est suspecte et en éliminant le besoin d'interrompre les utilisateurs avec un défi. reCAPTCHA v3 exécute une analyse de risque adaptative en tâche de fond pour vous alerter des trafics suspects tout en permettant à vos utilisateurs de profiter d'une expérience sans friction sur votre site.
Détection de bot plus précise avec « Actions »
Dans reCAPTCHA v3, Google propose un nouveau concept appelé «Action», une balise que vous pouvez utiliser pour définir les étapes clés de votre parcours utilisateur et permettre à reCAPTCHA d'exécuter son analyse de risque en contexte. Puisque reCAPTCHA v3 n'interrompt pas les utilisateurs, Google recommande d'ajouter reCAPTCHA v3 sur plusieurs pages. De cette manière, le moteur d'analyse de risque adaptatif reCAPTCHA peut identifier plus précisément le type d'attaques en examinant les activités sur les différentes pages de votre site Web. Dans la console d’administration de reCAPTCHA, vous pouvez obtenir un aperçu complet de la distribution des scores reCAPTCHA et des statistiques des 10 actions principales de votre site, afin de vous aider à identifier les pages exactes ciblées par les robots et à quel point le trafic était suspect sur ces pages.
Un mécanisme qui présente déjà des failles ?
Les éditeurs derrière unCaptcha sont revenus à la charge. Ils rappellent que :
Envoyé par unCaptcha
Il y a quelques jours, les éditeurs ont publié un dépôt GitHub dans lequel ils affirment que cette nouvelle version d'unCaptcha peut venir à bout de la dernière version de ReCaptcha avec une précision de 91%.
Dans un billet de blog, ils expliquent que reCaptcha fonctionne principalement en observant de nombreux éléments de preuve différents qui pourraient indiquer un utilisateur humain, tels que la manière dont il tape, déplace sa souris, etc. Néanmoins, parfois, reCaptcha ne peut pas dire si l'utilisateur est humain. Lorsque cela se produit, reCaptcha présente aux utilisateurs une grille d'images, comme celle ci-dessous:
Cependant, les captchas visuels ne peuvent pas être résolus par tous les utilisateurs; Pour aider les utilisateurs malvoyants, reCaptcha permet aux utilisateurs de demander des captchas audio en cliquant sur l'icône du casque en bas à gauche de l'image ci-dessus. Ces défis audio consistent en une séquence de voix enregistrées disant des nombres "sept ... trois ... deux ...". Il est simplement demandé aux utilisateurs de taper les chiffres qu'ils entendent. C'est ce à quoi unCaptcha s'attaque.
Comment fonctionne unCaptcha
UnCaptcha a pour principal atout que les services de synthèse vocale actuels sont extrêmement performants. Même les services gratuits de synthèse vocale de Google pourraient être utilisés contre le mécanisme de défense même qu'ils offrent!
En bref, voici les étapes fonctionnelles d'unCaptcha:
Les éditeurs ont fourni le code qui est strictement réservé à une utilisation dans l'éducation. Une démo est disponible pour avoir un cas pratique de l'utilisation de cette nouvelle version d'unCaptcha.
Présentation de unCaptcha2
Envoyé par unCaptcha
Source : dépôt gitHub, unCaptcha
Et vous ?
Qu'en pensez-vous ?
Cela vous semble-t-il crédible ?
Utilisez-vous reCAPTCHA ? Si oui quelle version ?
Ces affirmations peuvent-elles vous faire évoluer (vers une autre version de reCAPTCHA ou vers une alternative) ?
Quelles sont les solutions alternatives pour détecter le trafic abusif sur votre site Web sans interaction de l’utilisateur ?
Voir aussi :
IA : un nouvel algorithme est capable de résoudre les tests CAPTCHA en moins de 0,05 seconde selon une recherche
Une porte dérobée a été trouvée sur une mise à jour du plugin WordPress Captcha, utilisé par plus de 300 000 sites
Google ajoute l'API Recaptcha à Android pour aider les développeurs à bloquer les bots et à identifier plus facilement les humains
Google propose l'usage de CAPTCHA invisibles pour distinguer les humains des bots, s'agit-il pour autant d'une solution plus sécurisée ?
Une expérience utilisateur sans friction
ReCAPTCHA n'a cessé d'évoluer au cours de la dernière décennie. Dans reCAPTCHA v1, il était demandé à chaque utilisateur de relever un défi en lisant un texte déformé et en le saisissant dans une zone. Pour améliorer à la fois l'expérience utilisateur et la sécurité, Google a proposé reCAPTCHA v2 et commencé à utiliser de nombreux autres signaux pour déterminer si une requête provenait d'un humain ou d'un robot. Cela a permis aux défis reCAPTCHA de passer d'un rôle dominant à un rôle secondaire dans la détection des abus, laissant environ la moitié des utilisateurs passer en un clic. À présent, avec reCAPTCHA v3, Google modifie fondamentalement la façon dont les sites peuvent déterminer si les activités sont menées par des humains ou des robots en renvoyant un score pour vous indiquer à quel point une interaction est suspecte et en éliminant le besoin d'interrompre les utilisateurs avec un défi. reCAPTCHA v3 exécute une analyse de risque adaptative en tâche de fond pour vous alerter des trafics suspects tout en permettant à vos utilisateurs de profiter d'une expérience sans friction sur votre site.
Détection de bot plus précise avec « Actions »
Dans reCAPTCHA v3, Google propose un nouveau concept appelé «Action», une balise que vous pouvez utiliser pour définir les étapes clés de votre parcours utilisateur et permettre à reCAPTCHA d'exécuter son analyse de risque en contexte. Puisque reCAPTCHA v3 n'interrompt pas les utilisateurs, Google recommande d'ajouter reCAPTCHA v3 sur plusieurs pages. De cette manière, le moteur d'analyse de risque adaptatif reCAPTCHA peut identifier plus précisément le type d'attaques en examinant les activités sur les différentes pages de votre site Web. Dans la console d’administration de reCAPTCHA, vous pouvez obtenir un aperçu complet de la distribution des scores reCAPTCHA et des statistiques des 10 actions principales de votre site, afin de vous aider à identifier les pages exactes ciblées par les robots et à quel point le trafic était suspect sur ces pages.
Un mécanisme qui présente déjà des failles ?
Les éditeurs derrière unCaptcha sont revenus à la charge. Ils rappellent que :
Dans un billet de blog, ils expliquent que reCaptcha fonctionne principalement en observant de nombreux éléments de preuve différents qui pourraient indiquer un utilisateur humain, tels que la manière dont il tape, déplace sa souris, etc. Néanmoins, parfois, reCaptcha ne peut pas dire si l'utilisateur est humain. Lorsque cela se produit, reCaptcha présente aux utilisateurs une grille d'images, comme celle ci-dessous:
Cependant, les captchas visuels ne peuvent pas être résolus par tous les utilisateurs; Pour aider les utilisateurs malvoyants, reCaptcha permet aux utilisateurs de demander des captchas audio en cliquant sur l'icône du casque en bas à gauche de l'image ci-dessus. Ces défis audio consistent en une séquence de voix enregistrées disant des nombres "sept ... trois ... deux ...". Il est simplement demandé aux utilisateurs de taper les chiffres qu'ils entendent. C'est ce à quoi unCaptcha s'attaque.
Comment fonctionne unCaptcha
UnCaptcha a pour principal atout que les services de synthèse vocale actuels sont extrêmement performants. Même les services gratuits de synthèse vocale de Google pourraient être utilisés contre le mécanisme de défense même qu'ils offrent!
En bref, voici les étapes fonctionnelles d'unCaptcha:
- Télécharger le captcha audio
- Segmenter l'audio en clips audio à chiffres individuels
- Téléchargez chaque segment sur plusieurs services de synthèse vocale en ligne
- Convertir les réponses de ces services en chiffres:
- Homophones exacts: si c'est "un" "deux", etc., alors deviner ce nombre
- Homophones proches: si cela ressemble à un chiffre, comme "true" ressemble à "two", alors deviner à quoi ça ressemble
- Regrouper les multiples services en prenant un vote pondéré basé sur la confiance
- Et enfin télécharger la réponse
Les éditeurs ont fourni le code qui est strictement réservé à une utilisation dans l'éducation. Une démo est disponible pour avoir un cas pratique de l'utilisation de cette nouvelle version d'unCaptcha.
Présentation de unCaptcha2
Et vous ?
Voir aussi :
-
Fleur en plastiqueMembre extrêmement actifOui enfin recaptcha c'est de la M.
Il y a encore quelques jours j'ai dû me taper au moins 5 pages de Quiz visuel sur des photos très peu lisibles pour pouvoir valider un formulaire alors que tout le monde s'impatientait derrière dans la file (site de la Caf sur un ordinateur public). Je n'ai rien d'un robot, j'ai la douceur, les sentiments, la patience, et la relative lenteur d'un être humain alors lâche-nous les baskets, marre de passer mon temps à repérer des voitures et des panneaux de signalisations ! Mon permis je l'ai déjà eu il y a plus de dix ans.le 07/01/2019 à 15:09 -
CoderInTheDarkMembre émériteJe ne cesse pas de le dire.
Faites des applications accessibles pas pour les déficients visuels, mais pour les robot d'indexation et outil de tests.
Si ça passe pour Selenium, ou une autre solution de test d'interfaces, ça passera pour nous.
Quant aux catcha audios c'est moche aussi pour nous, le son est dégradé avec un bruit de fond, et finalement on préfère demander à un voyant.
Le catcha pourri surtout la vie aux humain.
En fait l'utilisateur qui passe le test du premier coup c'est sûr c'est louchele 12/01/2019 à 14:32 -
TheLastShotMembre extrêmement actifFaut bien aider google à améliorer son système d'analyse d'imagele 07/01/2019 à 19:41
-
AiekickMembre extrêmement actifes tu sur de ne pas être un bot ? j'ai comme un doutele 08/01/2019 à 0:22