Des chercheurs proposent une alternative aux CAPTCHA et présentent GOTCHA
Un test de Rorschach pour renforcer la sécurité sur Internet

Le , par Stéphane le calme

0PARTAGES

2  0 
Introduit à l'an 2000 par Luis von Ahn et ses collègues de l'Université Carnegie Mellon à Pittsburgh, les CAPTCHA, ces suites de lettres et de chiffres déformés que l'internaute doit ré-écrire dans pour prouver qu'il n'est pas un robot, ont connu un immense succès. Bien sûr, il était inévitable que ce système de sécurité allait être la cible des hackers qui ont réussi à le contourner de bien des manières grâce à des bots de plus en plus performants. Raison pour laquelle Des élèves ingénieurs de la Carnegie Mellon University (CMU) se sont penchés sur une alternative à ce système de sécurité.

C'est ainsi qu'ils se sont lancés sur GOTCHA (Generating panOptic Turing Tests to Tell Computers and Humans Apart) qui se base sur le test de Rorschach, utilisé en psychiatrie et psychanalyse, qui demande à une personne de décrire ce qu'elle voit dans une série de taches d'encre symétriques. En clair, des tâches d'encre similaires à celle du test de Rorschach sont présentées à un internaute au moment de son inscription sur un site. L'utilisateur devra écrire une courte phrase décrivant ce que l'image lui « évoque ». Lors de ses prochaines connexions, sa réponse ainsi que d'autres propositions lui seront présentées et il sera chargé de faire correspondre l'image à sa réponse initiale. Les GOTCHA font donc appel à la faculté de l'homme de reconnaissance des formes géométriques.


L'objectif est de déjouer les attaques automatisées qui peuvent réaliser un grand nombre de tentatives en multipliant les combinaisons. Les concepteurs du GOTCHA pensent que la perception humaine ne pourrait pas être reproduite par un robot.

Le procédé est encore en phase bêta. Les concepteurs ont déjà effectué une vague de tests sur le service Mechanical Turk d'Amazon et les résultats ne sont pas à la hauteur de leurs espérances. Le test proposait à des « volontaires » rémunérés 1$ d'écrire de courtes phrases pour interpréter 10 images. Dix jours plus tard, ces mêmes volontaires étaient de nouveau rémunérés 1$ pour associer ces mêmes images à des descriptions. Seulement 69% des participants ont su associer au moins 5 des images à leur description initiale. Toutefois, la rémunération des participants aurait pu fausser les résultats : il est en effet possible que certains des participants n'aient pas pris l'exercice au sérieux et se contenter de répondre à l'aveugle uniquement pour percevoir leur argent.

Ce test pose cependant la question de la capacité des utilisateurs à se rappeler de leur interprétation si leur humeur ou leurs préoccupations du moment changent. C'est la raison pour laquelle ses concepteurs, Jeremiah Blocki, Manuel Blum, et Anupam Datta estiment que le GOTCHA pourrait être proposé sur une base facultative, « pour que les utilisateurs en difficulté ne bloquent pas leur compte ».

Source : Cornell University Library

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Flop-
Membre du Club https://www.developpez.com
Le 21/10/2013 à 17:22
13  0 
Avatar de squizer
Membre actif https://www.developpez.com
Le 21/10/2013 à 17:43
Et si je réponds à chaque fois que je vois "des ronds", j'aurai 100% de réussite entre tous mes gotcha ??!!!
A mon avis, du moment que c'est l'utilisateur qui définit initialement ce qu'il voit, le système sera vite falsifiable ou trop contraignant.
6  0 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 21/10/2013 à 16:20
Citation Envoyé par Kearz Voir le message
Je ne sais pas si c'est parce que je suis daltonien mais personnellement je ne vois strictement rien sur les dessins présentés en exemple.
Pareil

Déjà que les CAPTCHA sont souvent difficiles à lire, même pour un humain, mais ce truc là c'est encore pire...
5  0 
Avatar de Kearz
Membre expert https://www.developpez.com
Le 21/10/2013 à 16:16
Je ne sais pas si c'est parce que je suis daltonien mais personnellement je ne vois strictement rien sur les dessins présentés en exemple.

Le premier je vois rien.
Le second est coupé, donc rien.
Le troisième j'vois un transformers en me forçant à trouver quelque chose sinon je vois rien.

Et perso, même si je vois rien j'aurais répondu au hasard pour avoir les -1$. (après si je voyais quelque chose j'aurais répondu normalement)
4  0 
Avatar de Pomalaix
Rédacteur https://www.developpez.com
Le 21/10/2013 à 16:42
Ou comment remplacer un système à la mords moi le noeud par un autre système à la mords moi le noeud !
En admettant que le principe soit viable, encore faudrait-il des mises en oeuvre avec un brin de bon sens, et une préoccupation de l'utilisabilité par un être humain ordinaire.

J'ai râlé pas plus tard que ce matin sur le site d'EDF.
Les mots présentés sont indéchiffrables tellement ils sont déformés. Qui plus est, ils sont en anglais !
Qu'à cela ne tienne, il y a une alternative sonore ! Ah oui, sauf que là encore, la voix est tellement déformée qu'on ne comprend rien. Et en plus c'est prononcé en anglais...

Moi j'apprécie beaucoup plus les systèmes avec des images sans ambiguïté visuelle, du genre "4 vaches et 3 petits garçons". C'est naïf et proche du ridicule, mais au moins c'est réellement praticable pour n'importe qui.
Mais peut-être est-ce aussi une protection trop simpliste dont se jouent les outils des petits pirates.
4  0 
Avatar de Kalishah
Membre habitué https://www.developpez.com
Le 21/10/2013 à 19:11
Citation Envoyé par Pomalaix Voir le message
Ou comment remplacer un système à la mords moi le noeud par un autre système à la mords moi le noeud !
[...]
C'est exactement mon impression.

Les captcha, c'est une horreur... Qui ne s'est jamais énervé à cause d'une série de symboles indéchiffrables et des tentatives successives infructueuses ? Le pire, c'est quand parfois l'état du formulaire n'est pas conservé, et qu'il faut ressaisir toutes ses informations !

Ce système là ne me semble pas tellement meilleur puisqu'il fait appel à une interprétation subjective qui dépend de l'état d'esprit, de la disposition de l'utilisateur. Et comme l'indique l'article, les résultats ne sont pas convaincants, ni même d'ailleurs réellement interprétables.

De plus, il me semble qu'un système de "reconnaissance des humains" se doit d'être rapide et ne demander qu'un effort minimum. (Voire pas d'efforts du tout.) Quand on remplit un formulaire, on n'a pas envie de jouer à des rébus, des tests de personnalité ou je ne sais quoi... On veut que ce soit simple, pratique et très rapide !

Il y a déjà des alternatives aux captcha pour distinguer les humains des robots :
- des questions aléatoires dont la réponse est évidente pour un être humain. (Genre, "quelle est la deuxième lettre du mot chat"
- une case du type "décochez-moi si vous êtes un être humain".
- un champ caché par les styles
- la mesure du temps de remplissage d'un formulaire
- le contrôle de l'exécution d'un javascript
- ...

Pourquoi ne pas tout simplement les utiliser ?

Enfin, un tel système ne doit pas être considéré comme ce qu'il n'est pas : un système d'identification. Dès lors qu'une réponse est spécifique à tel ou tel utilisateur pour moi il y a confusion avec un système d'identification.
3  0 
Avatar de pseudocode
Rédacteur https://www.developpez.com
Le 21/10/2013 à 19:57
Le premier dessin: une pizza.
Le second dessin: une pizza.
Le troisième dessin: une pizza.

(quand j'ai faim, tout ressemble à une pizza)
3  0 
Avatar de n5Rzn1D9dC
Membre averti https://www.developpez.com
Le 22/10/2013 à 11:26
Tout ça est franchement exagéré.


L'objectif est de déjouer les attaques automatisées qui peuvent réaliser un grand nombre de tentatives en multipliant les combinaisons.
Dans le cas là il faudrait voir du côté du nombre de requêtes sur une page, tout simplement..
Si il y a des requêtes "post" à répétition sur une même page et provenant d'une même ip, c'est peut être qu'il y a un problème..

Par exemple, au délà de 5 "post" (ou get), blocage 1 min.
Et si encore 5 mauvais "post", bannissement de l'ip.

"Pourquoi faire simple quand on peut faire compliqué ?"
2  0 
Avatar de playfone
Membre actif https://www.developpez.com
Le 21/10/2013 à 16:22
Un clown pour le premier ? (Ceci n'est pas un troll !)

EDIT : Merci cap'tain, c'est marqué en-dessous -_-
1  0 
Avatar de grunk
Modérateur https://www.developpez.com
Le 21/10/2013 à 17:09
Bonjour l'accessibilité aux handicapés avec ça. Autant un captcha on peut faire une alternative audio pour les non/mal voyants , autant là ça devient compliqué.

Ceci dit ça permet d'éviter les dérangés sur son site qui voit des couteaux et du sang partout ^^

Pour le moment je fonctionne avec des honeypot et ça marche plutôt bien.
1  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web