Le captcha

Les CAPTCHA, pour « Completely Automated Public Turing test to tell Computers and Humans Apart » (test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains), ont été imaginés pour tenter d’affirmer que la visite d’un site est bien faite par un être humain et non par un programme.  

A quoi sert à un captcha ? 

Ils sont utilisés principalement pour valider un accès ou une inscription. 

Sur Internet, il existe des robots qui scannent en permanence les différentes pages web pour en identifier les ressources. On les appelle des « crawlers » ou « spiders ». La plupart du temps, ils sont utilisés de façon tout à fait légitime, par les moteurs de recherche ou systèmes d’archivage notamment. 

Mais parfois, ils sont détournés pour effectuer des actions malveillantes. Une de ces actions est d’exploiter les formulaires présents sur les sites web (inscription, contact, etc). Le but peut être de trouver des failles ou simplement de créer des comptes en masse, qui pourront être exploités par la suite, notamment dans le cadre de campagne de spams. 

C’est pour limiter ces pratiques que les captcha ont été créés. Ils imposent une validation par un humain, ce qui limite l’impact des crawlers.

Ils ont beaucoup évolué en terme de complexité. Dans un premier temps, les captcha se présentaient sous la forme de case à cocher ou de texte simple à recopier, mais les robots, de plus en plus perfectionnés eux aussi, ont été adaptés pour remplir ses validations. Nous avons donc maintenant des images, de textes déformés ou d’objets à identifier, éventuellement plusieurs fois, pour valider les captcha. 

Il existe même des captcha invisibles, qui analysent les actions de l’utilisateur sur une page, jusqu’au mouvement de sa souris, pour identifier si l’utilisateur est humain ou non. 

Un captcha peut-il être trompé ?   

La réponse est évidente : Oui. 

Nous l’avons dit précédemment, les robots évoluent constamment, les techniques permettent aux programmes de toujours mieux reconnaître les caractères et objets présents sur les images affichées par les captcha. Ils prennent rapidement en compte les nouvelles protections et imitent les comportements attendus par les captcha les plus récents. De plus, ceux-ci présentent, comme tous les programmes informatiques, des failles et des limites. Ils nécessitent donc un suivi ainsi que des analyses et mises à jour régulières, qui font parfois défaut. 

Enfin, des « fermes à captcha » ont été identifiées. Ce sont de véritables usines, situées principalement dans les pays en développement, où le coût de la main d’œuvre est le plus bas. Des équipes de travailleurs humains y remplissent les captcha manuellement, pour des sommes modiques. Les sources sont évidemment peu claires, mais on parle de coûts de l’ordre de 1 à 5 $ pour 1000 captcha validés. 

Et sans même parler de ces fermes qui industrialisent le processus, un pirate ou un spammeur peut parfaitement valider manuellement un petit nombre de captcha, s’il permet la validation d’un accès sensible. 

Le captcha, une mauvaise solution de sécurité ? 

Le captcha et ses évolutions ne sont pas de mauvaises solutions, mais ils ne doivent constituer qu’une des briques de la sécurisation de vos systèmes. Se reposer uniquement sur sa validation pour confirmer un accès est une erreur. Il offre un faux sentiment de sécurité qui, nous l’avons vu, peut être facilement contourner. Il n’est justifié qu’en prenant place dans un ensemble de mesures qui œuvrent conjointement à la validation d’une procédure. S’il est la pièce centrale, voir l’unique système de sécurité, il ne peut que constituer une faiblesse dans la chaîne de la cybersécurité.