Qu’est-ce que le CAPTCHA ? Comment sait-il que vous n'êtes pas un robot ?

Pourquoi les sites Web utilisent-ils CAPTCHA ? D’où vient cette protection ? Et pourquoi est-ce si fréquent ?

Tout site Web peut être la cible de cyberattaques, d'abus numériques et de robots qui collectent les informations personnelles des visiteurs à des fins malveillantes. CAPTCHA a été conçu pour protéger contre de tels abus et attaques de robots.

Même à la rédaction, lors de l'inscription, l'ordinateur vérifie si nous sommes un robot ou un humain. Parfois, il suffit de cocher la case, et d'autres fois, nous devons trouver toutes les photos sur l'écran avec une bouche d'eau ou quelque chose de similaire. Pourquoi cette différence, vous le découvrirez ci-dessous.

Au fait, qu’est-ce qu’un CAPTCHA ?

CAPTCHA est l'acronyme de « Test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains ». En termes simples, il s'agit d'un test aléatoire avec un défi et une solution spécifique que les sites Web utilisent pour se défendre contre les attaques. 40 % de tout le trafic mondial en ligne est réalisé par des « robots », vous pouvez donc facilement imaginer les dégâts qu'ils peuvent causer. Si vous les reconnaissez dès le début et n'autorisez que les personnes à accéder au site Web, vous pouvez vous épargner bien des ennuis.

Comment la technologie CAPTCHA a-t-elle évolué ?

Les premiers tests CAPTCHA sont apparus vers la fin des années 1990 et consistaient en des images déformées avec une combinaison de lettres et de chiffres. La technologie a été développée par plusieurs groupes différents dans le but de faciliter la lutte contre les robots et les pirates. Vous souvenez-vous du moteur de recherche AltaVista ? Leurs développeurs voulaient empêcher les robots d’ajouter des adresses Web malveillantes à la base de données.

Le terme CAPTCHA lui-même a été utilisé pour la première fois en 2003 par un groupe de chercheurs en informatique de l'Université Carnegie Mellon. L'impulsion au développement a été donnée par le discours du directeur du géant Yahoo de l'époque, qui a évoqué les problèmes liés aux araignées qui créaient des millions de fausses adresses e-mail.

Un groupe de chercheurs a créé un programme informatique qui générait d'abord un texte aléatoire, puis générait une image déformée de ce texte (appelée CAPTCHA) et demandait enfin à l'utilisateur de le résoudre et de cliquer sur "Je ne suis pas un robot". boîte. À l’époque, la technologie de reconnaissance optique de caractères (OCR) était incapable de déchiffrer ce simple casse-tête. Les robots ont donc échoué au test CAPTCHA, pari. Peu de temps après, Yahoo a demandé à ses utilisateurs de passer un test CAPTCHA avant de se connecter à une adresse e-mail. La diminution du nombre de robots a également incité d’autres entreprises à mettre en place une protection CAPTCHA.

Mais inévitablement, les pirates ont développé des algorithmes capables de contourner de manière fiable la nouvelle protection. Cette bataille se poursuit encore aujourd'hui.

reCAPTCHA v1 - une mise à niveau qui n'a pas réussi à arrêter les robots

En 2007, Luis von Ahn, membre de l'équipe originale qui a développé le système CAPTCHA, a introduit reCAPTCHA v1, avec lequel il voulait rendre la tâche plus difficile aux pirates et améliorer la précision de la reconnaissance optique de caractères utilisée pour numériser les textes imprimés. Les pirates informatiques sont tombés sur des images encore plus déformées et les mots ont rapidement été également barrés.

Il a amélioré l'OCR en remplaçant une image de texte tronqué généré aléatoirement par deux images tronquées de mots numérisés à partir de textes réels par deux programmes OCR différents. Le premier mot, ou mot de contrôle, était un mot que les deux programmes OCR reconnaissaient correctement ; le deuxième mot était un mot qui n'était pas reconnu par le programme OCR. Si l'utilisateur identifiait correctement le mot de contrôle, le programme reCAPTCHA supposait que l'utilisateur était humain.

Deux ans plus tard, Google est intervenu en achetant une nouvelle technologie et en l'utilisant pour numériser des textes pour Google Books et en octroyant des licences à d'autres sociétés. Dans le même temps, le développement de la technologie OCR a apporté de l’eau au moulin des pirates informatiques, qui l’ont utilisée avec diligence pour développer des algorithmes avancés qui ont commencé à résoudre avec succès les nouveaux défis reCAPTCHA. En 2012, des problèmes d'image reCAPTCHA sont apparus, susceptibles de tromper l'OCR tout en étant plus adaptés aux appareils mobiles.

reCAPTCHA v2 - meilleur mais invasif pour les utilisateurs

La deuxième version (reCAPTCHA v2 ou pas de CAPTCHA reCAPTCHA) a complètement éliminé les problèmes de texte et d'image. Au lieu de cela, une simple case à cocher « Je ne suis pas un robot » a commencé à être utilisée, et en coulisse, reCAPTCHA v2 analyse les interactions de l'utilisateur avec les pages Web, la vitesse à laquelle l'utilisateur tape, et analyse également les cookies, l'historique de l'appareil et l'adresse IP. . Il suit également les mouvements de la souris. Les utilisateurs qui trouvent le système suspect se voient présenter un défi CAPTCHA, tandis que les autres peuvent continuer à naviguer.

Cette protection plus récente présente plusieurs inconvénients. Parce qu'il repose fortement sur les cookies, il est plus convivial pour les utilisateurs du navigateur Chrome et ceux connectés avec un compte Google. Par exemple : les utilisateurs de Firefox (ou Brave, Opera...) qui ont désactivé les cookies tiers ont plus de chances d'obtenir un défi CAPTCHA.

Cependant, grâce aux progrès de l’intelligence artificielle, les robots peuvent résoudre même les défis reCAPTCHA les plus avancés. Les personnes malveillantes peuvent également s'aider elles-mêmes de ces fermes CAPTCHA, qui sont un service automatisé dans lequel les développeurs de robots utilisent une main-d'œuvre humaine bon marché pour résoudre les défis CAPTCHA.

Il était plus qu’évident que la protection existante n’était pas suffisante.

reCAPTCHA v3 – une dépendance encore plus grande à l'IA

La troisième mise à niveau supprime entièrement la case à cocher « Je ne suis pas un robot » et s'appuie encore plus sur l'intelligence artificielle et sa capacité à analyser les facteurs d'alarme. reCAPTCHA v3 s'intègre au site Web via une API JavaScript et fonctionne en arrière-plan. Il évalue les utilisateurs sur une échelle de 0 (bot) à 1 (humain) en fonction de leurs actions en ligne. Les propriétaires ou administrateurs de sites Web peuvent définir des actions automatiques qui sont déclenchées dans le cas où reCAPTCHA reconnaît un robot potentiel. Par exemple, il peut exiger une authentification multifacteur avant de se connecter à un profil, un commentaire sur un forum doit d'abord être approuvé par un modérateur, etc.

La méthode est plus conviviale pour les utilisateurs qui ne savent même pas que ce type de protection est mis en œuvre en arrière-plan. Néanmoins, la question de la confidentialité est toujours présente ici, et en même temps, avec la nouvelle génération, les administrateurs Web ont plus de travail à faire, qui doivent décider où se situe le seuil d'une certaine réponse.

A quoi sert le CAPTCHA ?

• Empêcher les fausses inscriptions que les robots exploitent le système pour envoyer du spam, du code malveillant et d'autres cyberactivités.
• CAPTCHA est utilisé dans certains endroits pour se protéger contre les transactions suspectes. Il y a des années, nous avons connu une crise des puces, dont les robots ont profité, par exemple, pour acheter des stocks plus importants de cartes graphiques, qu'ils ont ensuite revendus à des prix plus élevés.
• Les sondages en ligne, les bureaux de vote, les sondages d'opinion sont souvent la cible de robots qui souhaitent fausser les résultats.
• Les fraudeurs et les cybercriminels utilisent souvent les commentaires et les avis sur les produits pour diffuser des escroqueries et des logiciels malveillants ou pour augmenter artificiellement le classement d'un produit donné dans une boutique en ligne (Amazon, eBay...).

Il existe de nombreux cas d'utilisation, mais leur point commun est la lutte contre les robots, qui sont utilisés par des mécréants parce qu'ils veulent profiter au détriment des visiteurs en ligne. CAPTCHA n’est pas une protection à toute épreuve, mais il est sans aucun doute important pour l’intégrité du Web et de ses visiteurs.