reCAPTCHA: un outil contre les IA malveillantes

reCAPTCHA est un outil très répandu qui reste pourtant mal compris de nombreux internautes. Il faut dire que le web est bien le seul endroit où l’on vous demande si vous êtes un robot.

Mais pourquoi poser cette question aux visiteurs d’un site? À quoi servent ces CAPTCHA et pourquoi sont-ils si répandus?

C’est ce que nous aborderons en détail dans cet article. Mais tout d’abord, voyons un exemple pour nous mettre en situation.

En 2013, les données de dizaines de millions d’acheteurs de l’entreprise Target ont été compromises. L’événement a mené à une réduction des ventes, des poursuites et même à la démission du PDG.

Que s’est-il passé?

Des pirates ont eu accès au système informatique de Target par l’intermédiaire d’un fournisseur tiers. Ce dernier n’utilisait pas de CAPTCHA ou d’autre authentification pour s’assurer qu’un utilisateur accédant à son système était un humain et non un robot malveillant.

Des bots ont donc rapidement réussi à infiltrer l’organisation de ce fournisseur tiers. Ils se sont ensuite introduit dans le réseau de paiement de Target pour voler les données de leurs clients.

Quelle est la leçon ?

Si des acteurs malveillants veulent accéder à votre site Web, un CAPTCHA peut s’avérer une bonne première ligne de défense. Il peut même convaincre certains pirates de passer à une cible plus facile

Intéressé par le concept de CAPTCHA ? Il vous suffit de continuer votre lecture pour en apprendre davantage sur les éléments suivants:

• La différence entre CAPTCHA et reCAPTCHA
• Les principaux types de CAPTCHA utilisés aujourd’hui
• Comment les CAPTCHA peuvent aider les sites Web à éviter le spam et les piratages
• Quelques inconvénients à considérer avec les CAPTCHAs

Qu’est-ce que reCAPTCHA?

Tout d’abord, voyons simplement la définition du concept : « reCAPTCHA est un service de Google qui aide à protéger les sites Web contre le spam et les abus. »

reCAPTCHA de Google est une version populaire de la fonctionnalité de CAPTCHA. L’idée originale de CAPTCHA a été envisagée à l’Université Carnegie Mellon vers 2000.

reCAPTCHA a aussi été créé par des développeurs de la même université, avant d’être acheté par Google en 2009.

Que signifient les lettres de « CAPTCHA »?

Le terme CAPTCHA est l’acronyme simplifié de Completely Automated Public Turing Test to Tell Computers and Humans Apart.  En français, cela veut dire un test de Turing entièrement automatisé pour distinguer les ordinateurs et les humains.

Cette définition nous mène évidemment à une seconde question : Qu’est-ce qu’un test de Turing ?

Vous avez peut-être entendu parlé du test de Turing dans le film de 2014 The Imitation Game, inspiré du mathématicien et informaticien Alan Turing.

M. Turing a développé le Test éponyme (d’abord appelé jeu d’imitation) pour répondre à la question: Les machines peuvent-elles penser? 

Aujourd’hui, les tests de Turing sont principalement utilisés pour différencier les humains et les IA en testant la capacité d’une IA à afficher le même comportement intelligent qu’un humain. Les IA, dans ce cas, font référence à des logiciels automatisés.

CAPTCHA aider à prévenir les spams et les abus sur les sites Web en bloquant les bots avec des défis. Ceux-ci sont conçu pour être relativement faciles à comprendre et à accomplir pour nous les humains. Toutefois, les IA devraient être incapable de les relever, exposant ainsi leur nature.

Maintenant que vous en savez un peu plus à propos des CAPTCHA, parlons des différentes façons dont ils sont utilisés au quotidien.

Différents types de CAPTCHA

Les CAPTCHA se sont développées dans différentes directions au fil des ans pour tenter de distinguer les humains et les robots.

Aujourd’hui, il existe plusieurs types communs de CAPTCHA qui abordent différentes formes de raisonnement et d’authentification.

Les CAPTCHA Textes

Les CAPTCHA textuels affichent des caractères dans des arrangements étranges. Pour ce faire, ils utilisent généralement des polices inhabituelles et sur des fonds colorés.

Ces CAPTCHA ont besoin de raisonnement et d’interprétation pour déterminer ce que chaque lettre et chaque numéro est. Il s’agit d’une tâche complexe que de nombreuses IA sont incapable d’accomplir.

Les reCAPTCHA basés sur des images

Avec un CAPTCHA basé sur l’image, l’utilisateur du site Web doit identifier les photos affichées correspondent à l’élément demandé.

En utilisant des photos similaires qui nécessitent une interprétation et une analyse logique, cette option peut également déjouer les IA.

Les tests reCAPTCHA de Google utilisent très souvent cette approche. C’est une solution logique, compte tenu de la vaste banque de photos de Google Street View.

Les CAPTCHA basés sur des fichiers audios

Avec les CAPTCHAS audio, le son est le médium. Cette méthode est souvent associée à d’autres, comme les CAPTCHAS texte et visuel.

Les CAPTCHA audio sont plus accessibles aux personnes ayant une déficience visuelle, et sont aussi un puissant bloqueur d’IA. Ils reposent sur la complexité de distinguer les mots pertinents du bruit de fond.

Les CAPTCHA avec des cases à cocher

Ces CAPTCHAs peuvent sembler simples à première vue, mais ils analysent en fait comment les utilisateurs du site interagissent avec la case à cocher elle-même.

Les IA remplissent généralement les formulaires et remplissent les cases à cocher instantanément. Les humains naviguent pour leur part plus lentement à travers n’importe quel processus.

Cette méthode peut donc facilement être combinée avec d’autres CAPTCHAs. Cela vous offre plus d’assurance qu’un utilisateur n’est pas un logiciel habilement déguisé en un humain.

Malheureusement, les IA sont devenues si intelligentes qu’une grande partie des CAPTCHAs peut être contournée de nos jours.

C’est pourquoi la dernière version de reCAPTCHA (v3) de Google a changé la donne. Elle apporte une approche de CAPTCHA qui fonctionne en arrière-plan.

reCAPTCHA v3 est un CAPTCHA principalement invisible. Il utilise une API JavaScript et un moteur d’analyse des risques adaptative, alimenté par l’apprentissage automatique. Il évalue les utilisateurs en fonction de leur comportement lorsqu’ils interagissent avec le contenu de vos pages Web.

En arrière-plan, reCAPTCHA v3 donne à chaque utilisateur un score pour tenter de déterminer s’ils sont humains ou robots. Malheureusement, dans certains cas, cette mesure peut être insuffisante pour arrêter les IA plus avancées.

De plus, à une époque où la vie privée sur Internet est une priorité, cette méthode est controversée. Elle surveille l’activité des internautes sur place, sans autre avertissement que le petit badge reCAPTCHA.

D’autres types de CAPTCHA peuvent demander à l’utilisateur du site Web de glisser un élément vers un point spécifique de l’écran, jouer à un minijeu, et autre.

Cas d’utilisation : Où appliquer reCAPTCHA pour prévenir le spam

Les logiciels automatisés alimentés par l’IA ont beaucoup d’applications extraordinaires. Elles peuvent aider à accomplir des tâches banales et répétitives pour faire gagner du temps.

Cependant, des pirates ont également trouvé des moyens d’utiliser cette technologie pour attaquer des sites web.

Voici quelques situation où l’application de CAPTCHA peut protéger votre site web contre le spam et les attaques.

Sondages et questionnaires

Les entreprises utilisent les sondages et les questionnaires pour toutes sortes de raisons.

À l’externe, ils peuvent vous aider à recueillir des commentaires et de nouvelles idées. Cela peut être pour les produits, les services, le marketing, la marque, le contenu et bien d’autres choses encore.

À l’interne, les sondages et les questionnaires peuvent aider à assurer la satisfaction des employés et recueillir des renseignements.

Vous ne voudriez pas que ces résultats soit faussés par un nombre écrasant de réponses automatisées, n’est-ce pas?

Ouvertures de session

Les robots sont souvent utilisés pour aider les pirates à accéder aux sites Web au moyen de comptes existants, déjà configurés par les utilisateurs.

Typiquement, ils le font via des attaques de force brute. Celles-ci utilisent des logiciels pour déduire automatiquement jusqu’à des centaines de mots de passe en quelques secondes.

Pourquoi vouloir accéder à ces comptes? Parfois, c’est pour voler de l’information à des comptes et l’utiliser pour pirater d’autres sites. Les piratages se produisent ainsi souvent en plusieurs séquences.

D’autres fois, les pirates désirent utiliser le compte pour afficher du matériel promotionnel ou d’autres renseignements risquant d’être rapidement bloqués.

Sections de commentaires

Vous avez sans doute remarquer du spam dans les sections de commentaires de sites web et sur les médias sociaux.

Les IA sont utilisés pour laisser des commentaires en série pour divers usages. Elles peuvent diffuser de la publicité, un point de vue particulier, ou des liens vers des sources malveillantes.

Si vous souhaitez savoir comment ajouter un reCAPTCHA aux formulaires de commentaires de votre site WordPress, nous vous invitons à consulter notre article sur le sujet.

Formulaires

Tout comme les sections de commentaires, les formulaires qui ne sont pas protégés par un CAPTCHA peuvent être inondés de fausses soumissions.

Celles peuvent venir de robots tentant de vendre quelque chose, diffuser un récit spécifique, ou même hameçonner pour des données sensibles.

Paiements

Il y a plusieurs raisons pour lesquelles les pirates informatiques voudraient cibler la page de paiement d’un site web. C’est également le cas pour leur utilisation des IA.

La première raison est évidente : acheter des produits à un rythme que les humains ne peuvent pas suivre. Bien sûr, le but est d’ensuite les revendre ailleurs pour des prix plus élevés.

De plus, les IA peuvent utiliser des flux de paiement non protégés pour un procédé appelé test de carte. Elles exécutent alors des scripts automatisés dans un système de paiement pour tester si des numéros de cartes volées sont utilisables ou pas.

En utilisant un CAPTCHA, votre site web peut être en mesure de repérer et d’arrêter la plupart des abus automatisés commis par des IA.

Inconvénients potentiels de l’utilisation des reCAPTCHA

Les CAPTCHA ont clairement leurs avantages, mais il y a certains inconvénients à considérer avant d’en utilisez sur votre site :

• Les CAPTCHA peuvent rendre votre site Web moins accessible aux personnes avec une déficience auditive ou visuelle ou ne connaissant pas la langue de votre CAPTCHA.
• Les CAPTCHA interrompent l’expérience utilisateur. S’ils sont trop difficiles, ils peuvent nuire à l’engagement des utilisateurs humains.
• Les CAPTCHA ne sont pas complètement infaillible. Les propriétaires de sites Web ne devraient donc pas se bercé d’un faux sentiment de sécurité. Il faut toujours rester vigilant pour le moindre signe de spam et d’attaque.

De plus, il y a certains aspects du reCAPTCHA de Google en particulier que les propriétaires de site Web devraient connaître:

• reCAPTCHA v3 peut sembler envahissant pour les utilisateurs parce qu’il surveille le comportement à l’échelle du site. Cela peut amener certaines personnes soucieuses de la vie privée à éviter votre site.
• Le modèle d’affaires de Google utilise ou vend des données pour la publicité. Cela peut rebuter les propriétaires de sites et les utilisateurs qui ne veulent pas voir leurs données vendues.
• reCAPTCHA capitalise sur le travail des utilisateurs. Il collecte les données de leurs interactions pour former les systèmes d’identification visuelle de Google. Cela peut rendre certaines personnes très inconfortables.
• Google est bloqué dans certains pays, notamment en Chine. L’installation de la technologie Google limite la portée mondiale d’un site Web.

Pour conclure sur reCAPTCHA

Les CAPTCHA sont des outils pratiques pour protéger un site web du spam et des attaques. Ils aident à bloqué différentes actions menées par des IA malveillantes. Ils peuvent ainsi être très bénéfiques.

Il s’agit de tests de Turing automatisés, visant à distinguer les humains des IA. Les CAPTCHA ne sont toutefois pas infaillibles.

Certaines IA plus avancées arrivent désormais à contourner la plupart des CAPTCHA. Ceux-ci doivent donc être combiné pour arriver à rester efficaces. N’hésitez donc pas à en profiter.

Nous espérons que la lecture de cet article vous a plu et que nos conseils vous ont éclairé sur les forces, les faiblesses et les multiples usages de reCAPTCHA.

Si c’est le cas, nous vous invitons à consulter nos autres autres articles et tutoriels. Vous y trouverez une foule d’informations utiles à propos de la création et de la gestion de sites internet.