[CAPTCHA] Les captchas de demain ?

Bonjour à tous,

En flânant sur internet en ce Samedi matin ensoleillé, je tombe sur un article chez SebSauvage (via TheCric), ou il nous montre un soft, qui permet de lire un très grand nombre de captchas, pour les forums/blogs.
Hallucinant non ?
Bon je savais que ça existais, mais je en pensait pas que ca pouvais aller aussi loin dans la lecture des captchas, je suis resté sur le cul…

L’hypothèse que ce soit du pipo pour appâter le chaland n’est pas exclue (car ce soft est loin d’être gratuit : 540$ :D), mais ca me fais réfléchir, que sera la captcha de demain car la lecture de lettres ne sert visiblement plus à rien, les calculs n’en parlons pas.
J’essaye de réfléchir à quelque chose d’inviolable, mais le champs des possibilités est assez mince :

Les caractères à recopier ? > bon ca aussi déformé et illisible que ce soit, on y pense même plus…
Les calculs ? > 2+3= hum hum…
Les images ? > ils y ont pensé…
Le son ? > reconnaissance vocale (possible ?)
Les questions de culture générale ? > là on tiens peut être quelque chose…

En cette ère numérique ou le moindre péon à un (deux, trois…) blog, je me dis que ces techniques vont se répandre (bien qu’inutile je pense, qui clique ?), mais il faudra bien trouver une solution, car ce genre de soft a l’air vraiment très puissant (et vicelard…).
Et c’est sans compter que nos données numériques sont souvant protégés du bruteforce par captcha (de même pour la création d’un compte mail facebook etc…)

Vous en pensez quoi, je me plante ou la « captcha » telle qu’on la connais deviens inutile?
Y a du nouveau dans ce domaine ?

Ben :smiley:

Tu penses que ce genre de captcha résiste ?

Je pense pas que ça résistera bien longtemps, à côté ça propose une synthèse vocale (que j’utilise jamais, vu que ça va plus vite de lire). Après pourquoi pas combiner captcha et question plein texte?

Celui là resiste car justement c’est ce qui est en echec sur une ocr automatique et très puissante…Cela permet de faire coup double : reconnaitre un mot en echec et faire captcha. Seul un des deux mots est inconnu, mais les deux ont résisté à l’ocr (ce sont des scans de livres). Donc tant que l’ocr n’est pas fiable à 100%, ce système est valable.

Le fait que 4chan ait essayé de casser reCAPTCHA et… n’ont pas réussi à le faire, malgré plusieurs approches différentes, est une bonne indication de l’excellente qualité de reCAPTCHA.

Un résumé de l’attaque de 4chan sur un vote du Times (qui s’est mis à utiliser reCAPTCHA après coup).

Ah oui, vu comme ça :smiley:

Et pourquoi pas des micro jeux en flash (bon c’est pas très normes d’accessibilité - friendly, mais pour la majorité des blogs ça devrait être cool).

En effet reCAPTCHA n’est pas encore reconnu par ce soft mais :[quote]Now we are working on recognizing ReCaptcha and DLE-CAPTCHA, which are also used to Resource with high PageRank(ReCaptcha this is universal Captcha, and is increasingly being used for very different resources, including postal,blogs, etc.)[/quote]Et je continues de penser que ce genre de captchas ne tiendront plus longtemps (je parle en années)

[quote=« bdfck, post:7, topic: 50409 »]Et pourquoi pas des micro jeux en flash (bon c’est pas très normes d’accessibilité - friendly, mais pour la majorité des blogs ça devrait être cool).[/quote]C’est marrant mais bon je me vois mal jouer à Pacman à chaque fois que j’oublie un de mes mot de passe ou que je veux poster un commentaire sur un blog :smiley:

Et sinon que pensez vous de ça : Une question en image dont personne ne connait la réponse (ou presque) avec à coté un lien vers une page externe où la trouver, par exemple :
réponse
la réponse est « révolution » (« la révolution » serai aussi accepté)

Deux gros avantages : La question doit être déchiffrée (OCR), et la réponse doit venir d’une réflexion (ou du moins d’un recherche même simple), et n’est pas qu’un simple recopiage… (et en plus on apprend des trucs :D)
Un inconvegnant : Ca prend un minimum de temps (même 20 secondes c’est long pour une captcha…)

Ca vous gênerai de tomber sur une captcha comme celle là ?
Ca vous parait facilement contournable ?
Est ce que ça pourrait être auto-généré avec crawler qui fabriquerai les questions à partir de sites persistants (et libres…) ? Ou justement si c’est généré automatiquement il y aura forcement LA technique de reverse pour trouver la réponse ?

Une idée à la con comme ça :
“Combien y a t-il de personne sur l’affiche de Broken Arrow ?”
"En quelle couleur est écrit Watchmen sur l’affiche de Watchmen"
avec un lien vers imdb à côté par exemple.

Hahaha, oui et pourquoi pas demander une photocopie de mon livret de famille, mon numéro de compte en banque, trois euros, un mars et l’�?quipe et demander quel est le nom du rédacteur de l’article en page 5 du Monde tant que vous y êtes ? S’il faut passer un test de culture générale pour poster un commentaire sur un blog, je ne vais pas non plus me faire chier à aller faire des recherches sur d’obscurs généraux français ou autre truc.

Et question génération aléatoire et automatisée, vous mettez aussi une sacrée barrière algorithmique là. C’est à dire qu’à mon avis, le temps que quelqu’un ponde un truc capable d’aller prendre une page de wikipédia au hasard, la faire lire à son programme, trouver une question pertinente et ayant du sens, enregistrer la bonne réponse, faire passer la moulinette pour transformer la question en captcha et soit capable de le faire en temps réel pour que ça se passe de façon fluide pour l’usager, hum voilà quoi, allez-y, programmez-le en PHP, je suis sur que plein de gens seront ravis de cet apport. Sauf que comme chacun sait, si les trucs de sécurité sont trop connement appliqués, ça ne marche pas, donc soit les gens n’utiliseront plus le truc, soit ils auront des pratiques encore moins sures pour se faciliter la vie.

[quote=“LeBaronNoir, post:10, topic: 50409”]Et question génération aléatoire et automatisée, vous mettez aussi une sacrée barrière algorithmique là. C’est à dire qu’à mon avis, le temps que quelqu’un ponde un truc capable d’aller prendre une page de wikipédia au hasard, la faire lire à son programme, trouver une question pertinente et ayant du sens, enregistrer la bonne réponse, faire passer la moulinette pour transformer la question en captcha et soit capable de le faire en temps réel pour que ça se passe de façon fluide pour l’usager, hum voilà quoi, allez-y, programmez-le en PHP, je suis sur que plein de gens seront ravis de cet apport. Sauf que comme chacun sait, si les trucs de sécurité sont trop connement appliqués, ça ne marche pas, donc soit les gens n’utiliseront plus le truc, soit ils auront des pratiques encore moins sures pour se faciliter la vie.[/quote]Je pensait pas forcement la génération en temps réel mais plutôt une génération continue (pourquoi pas vérifiée voire même créé par des contributeurs volontaires) qui alimente une base de captcha, utilisable à la demande via une API.
Et le fait que la réponse soit contraignante à trouver (10 ou 20 sec de lecture dans un lien donné), j’avoue c’est un frein.

En fait je pense à tout ça car les captchas sont aussi utilisés pour protéger beaucoup de webmails (entre autres choses), et si un jour elles ne tiennent plus, bah plus rien n’empêchera quelqu’un de lancer un bruteforce sur une compte google ou de créer toutes les adresses d’un webmail gratuit… J’en passe et des meilleures…

Bref c’est une protection bien mince sur laquelle on se repose beaucoup.

Ha oui, c’est sur que si c’est pour aller créer un truc tangible comme un compte Google ou assimilé, ça s’envisage déjà nettement mieux comme truc. Pour poster un commentaire sur un blog, hahaha, impossible quoi.

[quote=“LeBaronNoir, post:12, topic: 50409”]Ha oui, c’est sur que si c’est pour aller créer un truc tangible comme un compte Google ou assimilé, ça s’envisage déjà nettement mieux comme truc. Pour poster un commentaire sur un blog, hahaha, impossible quoi.[/quote]Oué c’est vrai, je mélange tout, ce type de captcha serait uniquement utile pour retrouver un mot de passe vers des données confidentielles (compte mail, facebook etc) ou inscription (webmail, forum, etc), mais il est clair que pour poster un commentaire dans un blog c’est un peut (beaucoup?) trop, et ca freinerai les utilisateurs à poster ou l’admin à l’utiliser.

[quote=“AcidBen, post:11, topic: 50409”]En fait je pense à tout ça car les captchas sont aussi utilisés pour protéger beaucoup de webmails (entre autres choses), et si un jour elles ne tiennent plus, bah plus rien n’empêchera quelqu’un de lancer un bruteforce sur une compte google ou de créer toutes les adresses d’un webmail gratuit… J’en passe et des meilleures…

Bref c’est une protection bien mince sur laquelle on se repose beaucoup.[/quote]
Pour ces applis il y a une solution simple : un sms avec un code de confirmation et hop. Sinon tu as la solution de bourrin à la adsens : un rib, un virement, une confirmation :D)

[quote=“fser, post:14, topic: 50409”]Pour ces applis il y a une solution simple : un sms avec un code de confirmation et hop. Sinon tu as la solution de bourrin à la adsens : un rib, un virement, une confirmation :D)[/quote]Je pense que le SMS c’est tout aussi valable qu’un simple mail, faut juste un adaptateur usb>carte sim (qui peut être anonyme comme une mobicarte).

Tout ce qui est bancaire est le dernier rempart car (a priori) inviolable, mais je pense que c’est inutilisable pour des choses qui ne sont pas en rapport avec l’argant (inversement a PayPal, AdSense, etc), j’imagine mal un utilisateur donner son numéro de CB pour créer une adresse MSN ou récupérer son mot de passe Google… Mais il est vrai qu’avec ça, on est sur que l’utilisateur est un humain, et que c’est bien la personne ciblée.

Il y a le logiciel PWNtcha qui a aussi une page avec quelques captchas évalués.

Je suis fan du principe d’ASIRRA, il s’agit de reconnaître les photos de chiens et de chats. :smiley:

L’idée de la question avec recherche de la réponse sur une page, ça me rappelle les vieux jeux (style Indiana Jones et la dernière croisade ou The Incredible Machine) où il fallait chercher dans le manuel à la page indiquée quelle était la réponse…

Ce qui me fait halluciner, c’est que les bots de spam vont vraiment partout. J’en reçois plein sur Twitter, et j’ai eu mon premier sur last fm la semaine dernière :smiley:

Ce qu’il faut voir aussi avec le captcha next-gen, c’est que ce ne soit pas tellement « bot-proofed » que l’utilisateur est rebuté par cette saisie et laisse tomber. Les sites où il faut obligatoirement s’inscrire pour une utilisation unique (ou pour un test du site), s’il faut plusieurs minutes pour s’y inscrire, aucun doute que des gens laisseront tomber avant même d’essayer. Perso, quand je dois retaper un captcha parce que j’ai fait une faute à la saisie du premier, ça me saoûle. Mais bon, si c’est le prix à payer pour éviter d’avoir du spam…

J’ai vu dans une maison de retraite un système utilisable peut être. Certaines personnes âgées n’ont plus forcement leur tête dans ce genre d’endroit mais ont toujours leurs jambes. Pour éviter de les voir se balader dans la nature, la porte d’entrée est bloqué par un digicode. Mais pour que n’importe quel visiteur puisse sortir de la maison de retraite, le code est directement écrit à coté du digicode mais via une phrase « codée » du style : « le code est l’année en cours à laquelle on rajoute 1 ». Du coup seul les personnes mentalement saines et les visiteurs arrivent à sortir sans être accompagné. Les autres étant soit incapable de comprendre que la porte est fermé, et reste bloquer derrière, soit incapable de déchiffrer le code.

Perso les catcha visuels, comme il y a sur tous les sites maintenant, sont une purge complète pour moi. J’ai galéré pour m’inscrire encore l’autre jour parce que le visuel était complètement illisible. �?a bloque peut être les bots mais ça me bloque aussi :smiley:

Je ne peux que plussoyer, ça arrive souvent qu’on ne sache pas si c’est une minuscule/majuscule, un « 1 » ou un « l », « o »/« 0 », un « m » ou un « n », ou alors est-ce que c’est un « l » avec un trait qui passe dessus ou bien un « t » ? Et c’est très pénible à la longue.
Perso poser une question avec le lien à côté me parait bien moins pénible.

Autre truc chiant que j’avais vu, c’est dire le nombre de chats sur l’image, alors qu’il y a des panthères sur l’image … (comprendre : des bestiolles qui se répondent, et compter les tâches n’est pas suffisant). Il m’avait fallu plusieurs essais :smiley: