{"id":5554,"date":"2016-04-19T14:06:52","date_gmt":"2016-04-19T14:06:52","guid":{"rendered":"https:\/\/kasperskydaily.com\/france\/?p=5554"},"modified":"2019-11-22T09:10:31","modified_gmt":"2019-11-22T09:10:31","slug":"recaptcha-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/recaptcha-vulnerability\/5554\/","title":{"rendered":"reCAPTCHA vaincu par les chercheurs en s\u00e9curit\u00e9"},"content":{"rendered":"<p>Commen\u00e7ons par expliquer d\u2019o\u00f9 vient le mot \u00ab\u00a0captcha\u00a0\u00bb. Il s\u2019agit d\u2019un acronyme pour \u00ab\u00a0Completely Automated Public <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Test_de_Turing\" target=\"_blank\" rel=\"noopener nofollow\">Turing test<\/a> to tell Computers and Humans Apart.\u00a0\u00bb L\u2019id\u00e9e derri\u00e8re la technologie Captcha (et \u00e9galement derri\u00e8re le test de Turing original) est simple : il s\u2019agit d\u2019un test que les humains sont capables de r\u00e9ussir, les robots en ligne non. Captcha se pr\u00e9sente souvent sous la forme d\u2019une image texte d\u00e9form\u00e9e que l\u2019utilisateur doit de nouveau taper afin de v\u00e9rifier qu\u2019il ne s\u2019agit pas d\u2019un ordinateur.<\/p>\n<p>La technologie Captcha est importante car elle assure une s\u00e9curit\u00e9 simple et pratique pour une grande vari\u00e9t\u00e9 d\u2019actions, telles que prot\u00e9ger l\u2019authentification sur certains sites Web, pr\u00e9venir le spamming dans les commentaires de blogs ou encore s\u2019assurer que seul des humains participent \u00e0 certaines enqu\u00eates en ligne.<\/p>\n<p>Les premi\u00e8res versions de Captcha ont \u00e9t\u00e9 relativement faciles \u00e0 contourner pour les ordinateurs. On a donc assist\u00e9 \u00e0 un bras de fer entre les pirates et les d\u00e9veloppeurs Captcha. D\u00e8s qu\u2019une version de Captcha \u00e9tait d\u00e9jou\u00e9e par les pirates, les d\u00e9veloppeurs en sortaient une nouvelle, plus puissante.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\"Google's ReCaptcha is simplest way of getting rid of bots. No math problems required!\" <a href=\"https:\/\/twitter.com\/jgamboa?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@jgamboa<\/a>  <a href=\"https:\/\/twitter.com\/hashtag\/WPEProTip?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#WPEProTip<\/a> <a href=\"https:\/\/t.co\/bPOegSbmbz\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/bPOegSbmbz<\/a><\/p>\n<p>\u2014 WP Engine (@wpengine) <a href=\"https:\/\/twitter.com\/wpengine\/status\/720719567564222467?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 14, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Google est alors intervenu et a sorti <a href=\"https:\/\/www.google.com\/recaptcha\/intro\/index.html\" target=\"_blank\" rel=\"noopener nofollow\">reCAPTCHA<\/a> qui est d\u00e9sormais consid\u00e9r\u00e9 comme la norme en mati\u00e8re de Captcha. Il utilise aussi bien du texte que des images d\u00e9form\u00e9es et c\u2019est pourquoi il est consid\u00e9r\u00e9 comme l\u2019un des services de Captcha les plus performants. La technologie reCAPTCHA de Google est utilis\u00e9e par Google lui-m\u00eame, mais aussi par Facebook et bien d\u2019autres sites Web, comme un moyen de se prot\u00e9ger contre les spams et les abus. reCAPTCHA est d\u2019ailleurs le fournisseur de Captcha le plus populaire au monde.<\/p>\n<p>Malheureusement, il semble que la technologie ne soit pas aussi infaillible qu\u2019on pensait.<\/p>\n<p>Les chercheurs en s\u00e9curit\u00e9 de l\u2019universit\u00e9 de Columbia ont d\u00e9couvert des failles dans la technologie reCAPTCHA de Google qui permettent aux pirates d\u2019influencer l\u2019analyse de risque et les restrictions de contournement ainsi que de mettre en \u0153uvre des attaques \u00e0 grande \u00e9chelle.<\/p>\n<p>Les chercheurs ont affirm\u00e9 qu\u2019ils avaient r\u00e9ussi \u00e0 concevoir, pour un co\u00fbt moindre, des attaques qui leur avaient permis de r\u00e9soudre 70% des d\u00e9fis de reCAPTCHA, et chaque d\u00e9fi pouvait en moyenne \u00eatre r\u00e9solu en 19 secondes. Ils ont \u00e9galement utilis\u00e9 le m\u00eame syst\u00e8me pour les images Captcha de Facebook et ont obtenu un taux de r\u00e9ussite de 83,5%. Selon eux, la r\u00e9ussite plus \u00e9lev\u00e9e sur Facebook est due au fait que les images de Facebook disposent d\u2019une plus haute r\u00e9solution.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/euRAfUGX8wY?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>\u00a0<\/p>\n<p>Le syst\u00e8me avait recours \u00e0 des techniques qui permettaient de contourner les cookies et les tokens et il utilisait l\u2019apprentissage machine afin de deviner correctement les images. Le plus dr\u00f4le est que ce syst\u00e8me se base sur la propre recherche invers\u00e9e d\u2019images de Google et elle peut \u00e9galement fonctionner hors-ligne.<\/p>\n<p>\u00ab\u00a0N\u00e9anmoins, compl\u00e8tement hors-ligne, notre syst\u00e8me de piratage de Captcha est comparable \u00e0 un service de r\u00e9solution de probl\u00e8mes professionnels aussi bien en mati\u00e8re de pr\u00e9cision qu\u2019en mati\u00e8re de dur\u00e9e. Son avantage\u00a0: il ne co\u00fbte rien au pirate\u00a0\u00bb, ont affirm\u00e9 les chercheurs, tout en insistant sur la simplicit\u00e9 et le rapport co\u00fbt-efficacit\u00e9 de cette attaque singuli\u00e8re.<\/p>\n<p>Avant que leurs r\u00e9sultats ne soient rendus publics, les chercheurs ont alert\u00e9 Google et Facebook afin de les informer de potentielles failles. Ils ont d\u00e9clar\u00e9 que Google avait r\u00e9pondu en tentant d\u2019am\u00e9liorer la s\u00e9curit\u00e9 de reCAPTCHA mais que Facebook ne semblait pas avoir am\u00e9lior\u00e9 son service.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Best captcha I've seen for a while. <a href=\"https:\/\/t.co\/tVvbwjmTLC\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/tVvbwjmTLC<\/a><\/p>\n<p>\u2014 Siddharth Vadgama (@siddvee) <a href=\"https:\/\/twitter.com\/siddvee\/status\/719940464628142080?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 12, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Les chercheurs pensent que les pirates pourraient raisonnablement demander entre 2 et 1000 euros pour chaque Captcha r\u00e9solu, et qu\u2019ils pourraient donc gagner pr\u00e8s de 100 euros par jour. Ils pourraient m\u00eame gagner plus d\u2019argent s\u2019ils lan\u00e7aient plusieurs attaques en m\u00eame temps ou s\u2019ils utilisaient des techniques additionnelles.<\/p>\n<p>L\u2019\u00e9tude montre qu\u2019il reste encore beaucoup \u00e0 faire dans le monde de la cybers\u00e9curit\u00e9. Elle donne \u00e9galement l\u2019opportunit\u00e9 \u00e0 de nombreuses entreprises, telles que Google, d\u2019avancer et d\u2019\u00e9tudier de plus pr\u00e8s leurs mesures de s\u00e9curit\u00e9 actuelles. Google a d\u00e9j\u00e0 prouv\u00e9 qu\u2019il voulait renforcer sa s\u00e9curit\u00e9 et nous esp\u00e9rons que d\u2019autres sites Web feront de m\u00eame.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe de chercheurs en s\u00e9curit\u00e9 a d\u00e9couvert des failles majeures dans la technologie reCAPTCHA de Google.<\/p>\n","protected":false},"author":699,"featured_media":5555,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[1529,202,14,16],"class_list":{"0":"post-5554","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-captcha","9":"tag-cybersecurite","10":"tag-facebook","11":"tag-google"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/recaptcha-vulnerability\/5554\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/captcha\/","name":"Captcha"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/5554","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/699"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=5554"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/5554\/revisions"}],"predecessor-version":[{"id":13020,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/5554\/revisions\/13020"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/5555"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=5554"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=5554"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=5554"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}