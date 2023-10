On est en 2023 : l’Intelligence artificielle impressionne le monde entier, les robots de Boston Dynamics nous épatent, les drones deviennent peu à peu autonomes… On y est, la machine s’apprête à remplacer l’humain. Oui, enfin, non, car pour l’heure, la machine n’est pas encore capable de passer le test reCAPTCHA de Google.

Ah les CAPTCHA. Ces petites interactions de sécurité dont le doux nom signifie Completely Automated Public Turing test to tell Computers and Human Apart. Présentes sur de nombreux sites, elles permettent donc d’identifier un utilisateur humain et de bloquer un robot, afin de protéger les plateformes d’interactions malveillantes. Cette mesure de sécurité, fonctionnant par un protocole d’authentification question-réponse, a su s’adapter avec le temps, face à la montée en puissance des bots malveillants.

Pourquoi les CAPTCHA sont-ils devenus obsolètes ?

Au commencement (en 1990) était le CAPTCHA. Basique, il se compose de deux éléments clés : d’un côté, une séquence aléatoire de chiffres ou de lettres déformés, de l’autre, un champ de texte dans lequel l’utilisateur est invité à inscrire ce qu’il réussit à lire. Lorsque cette solution a été déployée, d’abord par Alta Vista, sa puissance reposait sur le fait que les solutions robotiques n’étaient alors pas capables de lire.

Cependant, avec le temps, les Intelligences artificielles ont commencé à se développer. Les suites algorithmiques deviennent de plus en plus précises, jusqu’à rendre parfaitement obsolète le CAPTCHA : en 2021, des études révèlent que les humains résolvent 50 à 84% des formulaires en 10 secondes, là où les robots le font en moins d’une seconde pour un taux de réussite de 99%. Pour parachever l’obsolescence de ce système de sécurité, des fermes à clics apparaissent, dans lesquelles des travailleurs sont (faiblement) payés pour résoudre des milliers de CAPTCHA pour les bots.

reCAPTCHA, une alternative puissante

En 2009, Google fait l’acquisition d’une technologie développée par les chercheurs de l’université de Carnegie Mellon en 2009. L’outil s’appelle reCAPTCHA : d’abord destiné à la numérisation de livre, il permet à la firme de Mountain View de mettre en place une nouvelle solution sécurisée qui, à terme, doit remplacer le CAPTCHA traditionnel. En 14 ans de bons et loyaux services, l’outil reCAPTCHA en est à sa version 3, ayant connu pendant cette période de nombreuses améliorations.

Comment fonctionne le reCAPTCHA ?

Le système reCAPTCHA a les mêmes bases que son aïeul d’Alta Vista : des textes ou images que l’utilisateur se doit d’identifier. Sauf qu’avec le temps, Google a enrichi ses processus. D’abord avec la reconnaissance d’image en 9 cases (ou plus), puis avec les cases à cocher et enfin avec l’évaluation complète du comportement de l’utilisateur.

C’est ce dernier point qui fait la force du reCAPTCHA. Ce n’est désormais plus la réponse de l’utilisateur qui compte, mais son attitude sur le site. Déplacement de la souris, temps de réponse, historique de recherche… Tout un tas d’informations prises en compte par l’outil de sécurité, afin d’authentifier si oui ou non la requête provient d’un humain. Et le système s’est tellement perfectionné que dans sa version 3, le reCAPTCHA ne nécessite plus une case à cocher : l’outil authentifie automatiquement l’utilisateur et n’affiche un CAPTCHA qu’en cas de doute.

Plus qu’une case à cocher

Du coup, on a souvent l’impression que les reCAPTCHA se contentent d’être une simple case à cocher. Sauf qu’en réalité, le processus derrière cela est bien plus complexe. En fait, la solution analyse tout : le temps parcourut par le curseur jusqu’à la coche, si le déplacement est linéaire ou non, l’activité passée sur le navigateur par l’utilisateur… C’est là que le bât blesse pour les robots. S’ils peuvent lire des images ou des textes et remplir un CAPTCHA avec un résultat proche de la perfection, ils ne peuvent pas (encore) simuler un comportement humain en ligne.

La question est donc de savoir qui, du reCAPTCHA ou du robot, va évoluer le plus vite. Après tout, là où les pirates n’ont qu’à tester de nouvelles solutions jusqu’à trouver la clé pour contourner les reCAPTCHA, les développeurs derrière ces systèmes d’authentification doivent toujours garder une longueur d’avance sans savoir ce que vont proposer leurs adversaires anonymes.

Si vous gérez un site, notre conseil est donc de multiplier les outils de sécurité : reCAPTCHA, filtre antispam, solutions pare-feu… Combinez les protections plutôt que de n’en choisir qu’une !