Developpez.com

Le Club des Développeurs et IT Pro

Google veut mettre fin aux textes illisibles du CAPTCHA

No-CAPTCHA permet d'identifier un humain en un clic

Le 2014-12-04 09:34:03, par Hinault Romaric, Responsable .NET
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) offre un moyen aux sites Web de pouvoir distinguer les humains des robots, afin d’éviter leurs enregistrements automatiques ou des spammeurs.

Les CAPTCHA gênèrent à l'écran des caractères dont le but est d'être difficilement déchiffrés par les « bots » mais pas par les humains. Ils sont conçus en utilisant plusieurs techniques différentes, notamment l'utilisation d'une table de hachage chiffrée ou cachée.

Ils ont été largement adoptés sur les sites Web comme un moyen de sécurité. Cependant, les textes générés sont délibérément déformés, rendant leur identification pénible pour l’humain. De nombreux internautes voient en CAPTCHA un outil de nuisance.

Mais cela pourrait bientôt changer, car Google vient de dévoiler une nouvelle implémentation du CAPTCHA, plus simple et plus efficace. Le système est basé sur une simple case à cocher pour l’internaute, disant « Je ne suis pas un robot ».




« Bien que la nouvelle API puisse paraitre simple, il y a un haut degré de sophistication derrière cette modeste case », écrit dans un billet de blog Vinay Shet, ingénieur chez Google.

Le système, baptisé « No-CAPTCHA », repose sur l’analyse du comportement de l’utilisateur, avant, pendant et après avoir passé le test du CAPTCHA. Google a recourt, notamment, à l’analyse des mouvements du curseur de la souris, de l’adresse IP ou encore des informations contenues dans les cookies des navigateurs.

Le système fonctionne dans environ 80 % des situations. En cas de soupçon sur l’utilisateur, Google affichera un CAPTCHA traditionnel. Cela a été notamment le cas lors des tests pour 20 % des utilisateurs de Bundle Humble et 40 % des utilisateurs de WordPress.

Pour les utilisateurs de terminaux mobiles, Google affichera une petite image en haut de l’écran. Ils seront invités à choisir dans une liste d’images affichées en dessous, celle qui ressemble le plus à l’image du haut.




La nouvelle API de Google est déjà utilisée par des sites populaires comme Snapchat, WordPress, Humble Bundle. Selon le géant de la recherche, les utilisateurs seraient satisfaits de la nouvelle expérience offerte, permettant d’accéder plus rapidement à ces sites.

L’API est actuellement disponible pour tous les développeurs qui souhaitent l’intégrer à leur site Web.

Source : Google

Et vous ?

Pensez-vous que les CAPTCHA sont assez sécurisés ?

Que pensez-vous du nouveau système proposé par Google ? Une grande avancée ?
  Discussion forum
24 commentaires
  • yann2
    Membre expérimenté
    Bonjour

    Pensez-vous que les CAPTCHA sont assez sécurisés ?
    Non. Il suffit de redévelopper des robots pour ces Captcha, du coup ils vont faire des superpositions d'images pour compliquer la vie des robots ce qui va, dans les faits, compliquer la vie des êtres humains et ainsi de suite.

    Que pensez-vous du nouveau système proposé par Google ? Une grande avancée ?
    Bien sûr que non. Les alternatives aux CAPTCHA textuels existent depuis belle lurette. Par contre, google pourra compter sur des milliards d'internautes pour améliorer leurs algo de reconnaissance d'images
    le 04/12/2014 à 12:27
  • BugFactory
    Membre chevronné
    Bonne nouvelle. Les captchas sont une nuisance, posent des problèmes d'accessibilité et n'arrêtent plus les bots. Imposer les captchas aux utilisateurs malgré la gêne occasionnée était logique quand ils étaient encore efficaces, mais plus maintenant. Ça fait un moment qu'il auraient du disparaître.
    J'ai essayé le recaptcha sur le site de Snapchat et il m'a identifié en un clic.

    Toutefois, si ce système identifie les humains au moyen des mouvements du pointeur avant le clic, il me semble très simple d'enregistrer les mouvements d'un humain, puis de donner cet enregistrement à un bot pour qu'il le répète à un site. On peut même créer un algorithme qui génère des variantes. Le problème est que contrairement aux captchas, le problème à résoudre (un simple clic) est toujours le même.

    De plus, les informations rassemblées par recaptcha sont probablement rassemblées par Google pour la publicité ciblée.
    le 04/12/2014 à 10:19
  • gangsoleil
    Modérateur
    Ca commence à me saouler de devoir prouver que je suis un humain... aujourd'hui, il faut rentrer un code illisible, demain, il faudra cliquer sur toutes les dindes parmis les 9 dessins proposés, et quoi ensuite ? Choisir un dessin parmis le 4 227 proposés sur la page ci-jointe, et répondre au téléphone à un test de 42 questions ?

    Et s'ils cherchaient que gagnent les gens qui font des bots, et comment lutter contre eux plutôt que de chercher des palliatifs qui ne sont qu'une fuite en avant ?
    le 08/12/2014 à 15:06
  • Sirus64
    Membre éclairé
    Pensez-vous que les CAPTCHA sont assez sécurisés ?
    Non, les bots sont de plus en plus sophistiqués, en peu d'essais ils sont capables de passer et plus facilement que certains humains (c'était même documenté ici).

    Que pensez-vous du nouveau système proposé par Google ? Une grande avancée ?
    C'est une grande avancée pour eux : ils font toujours travailler les gens gratuitement pour classer des images, avant c'était pour reconnaitre des livres scannés puis des numéros de portes. Bref, je trouve ca dommage que cet aspect ne soit pas traité dans l'article !
    le 04/12/2014 à 14:04
  • Spartacusply
    Membre expert
    J'ai taper "éviter le spam sans captcha" dans notre bien aimé google, premier lien : http://www.anysurfer.be/fr/en-pratiq...m-sans-captcha

    Personnellement, j'utilise le "honey-pot" qui consiste à mettre un faux champ de formulaire dans le HTML caché en CSS. Si le champ est rempli, étant donné qu'un être humain ne le voit pas, c'est que c'est un robot. Ca marche.. très très bien (enfin pour l'instant), et également la technique de "question simple mais compliquée grammaticalement", par exemple : "Parmi ces 4 villes, Londres, Paris, Chicago et Berlin, laquelle ne se trouve pas en Europe ?". Ca marche aussi pas mal du tout.
    le 05/12/2014 à 15:25
  • AoCannaille
    Expert confirmé
    Envoyé par Saverok

    Est-ce que Google analyse le mouvement de mon doigts ?!
    Cela s'appelle la dynamique de Frappe qui est une technique d'identification biométrique très performante et dont l'ont soupçonne fortement google de l'utiliser pour différencier les utilisateurs du même PC.

    ça fait longtemps que les techniques décrites par Orwell ont été dépassées et améliorées
    le 04/12/2014 à 14:14
  • Spartacusply
    Membre expert
    Envoyé par Saverok
    Ce type de raisonnement est effrayant et dangereux
    Et le coup de "la goutte qui fait déborder le vase", ça peut être une idée aussi plutôt que la résignation, non ?
    A noter la pointe d'ironie dans ce propos.

    [HS]Ce qui n'empêche pas qu'il y a un certain questionnement à ce sujet de ma part... Et si plutôt on prenait le problème par l'autre bout en n'achetant pas les produits qui nous proposés grâce à la récolte de ses informations ?

    Mais c'est là un bien tout autre débat que les captcha.[/HS]
    le 04/12/2014 à 15:08
  • miky55
    Membre averti
    De toute évidence ton système ne peut contrer que des bots génériques qui scannent tous les sites sans distinctions. En général, aujourd’hui les bots ont des cibles spécifique comme les formulaires de commentaire wordpress ou ouverture de comptes automatisés sur des forums ou sites populaires.

    Si un jour un des sites protégé par ton système devient inintéressant pour un pirate il lui faudra 2 minutes montre en main pour le contourner là ou il faudra mettre de gros moyen pour casser un captcha ou système similaire.
    le 07/12/2014 à 14:01
  • esperanto
    Membre émérite
    Super, donc en gros au lieu de contraindre l'utilisateur à un petit effort intellectuel on va exploiter des infos envoyées avec la requête à son insu (cookies)
    En effet ça n'avait jamais été fait...

    Par ailleurs, on aurait vite tendance à oublier que le but d'un captcha n'est pas de reconnaître les humains mais d'éliminer ceux qui n'en sont pas. La différence est subtile je vous l'accorde, mais un captcha peut aussi éliminer ceux qui tapent plus vite que leur cerveau et accumulent les fautes de frappe.

    Après, quand je lis dans les commentaires qu'il existe plein d'alternatives aux captchas (même avant celle de google, donc?), serait-ce trop demander que de fournir des exemples ou des liens?
    le 05/12/2014 à 15:05
  • Saverok
    Expert éminent
    Toujours de l'analyse de l'internaute et toujours plus d’immixtion dans la vie privée
    Analyse de l'historique, analyse des cookies, analyses des mouvements de la souris...
    Est-ce que Google analyse le mouvement de mon doigt ?!

    Trouver des alternatives aux captchas qui sont franchement pénibles, ok
    Se servir de se prétexte pour toujours récolter plus d'information sur les internautes, non non et non
    le 04/12/2014 à 14:05
  Poster une réponse