Passer au contenu

Un test de Rorschach à la place du CAPTCHA ?

Le CAPTCHA, c’est bien, mais parfois, c’est lourd. C’est vrai, une fois sur 3, on nous sert un CAPTCHA indéchiffrable. La seule solution ? En demander…

Le CAPTCHA, c’est bien, mais parfois, c’est lourd. C’est vrai, une fois sur 3, on nous sert un CAPTCHA indéchiffrable. La seule solution ? En demander un autre. Ce système a aussi un désavantage, il est de plus en plus cracké par des bots. L’intérêt d’un tel concept tombe alors à l’eau, puisque à la base, c’est bien fait pour prouver que l’utilisateur n’est pas un robot.

06716034-photo-gotcha

C’est là que Jeremiah Blocki, Manuel Blum, et Anupam Datta, chercheurs au Carnegie Mellon University de Pittsburg, entrent en jeu. Les trois compères ont en effet créé un nouveau système qui remplace le CAPTCHA et le rend plus dur à cracker : un test de Rorschach. Ce test, à la base utilisé en psychologie, vous demande de reconnaître des formes générées au hasard grâce à des tâches d’encre. Nommé GOTCHA, leursystème se base sur ce fameux test, mais va encore plus loin pour rendre votre compte indéchiffrable par un bot et par d’autres utilisateurs notamment.

L’idée est qu’à l’inscription sur un site, plusieurs tests de Rorschach vous sont proposés. Il suffit de répondre avec des phrases simples. Lors d’une prochaine utilisation, le site vous ressortira les images et vos propres descriptions dans le désordre. À vous de tout remettre en place.

Mais le problème dans tout ça, c’est que la plupart des humains n’arrivent même pas à repasser ce test, même s’ils l’ont eux-mêmes fait ! Sur 70 personnes, seules 17 ont été capables de retranscrire le code qu’ils avaient mis 10 jours plus tôt. De même, seules 50 personnes ont réussis à passer la moitié des réponses. Un système trop compliqué qui est encore loin d’être au point, donc. Mais les trois chercheurs continuent de plancher sur le sujet afin de rendre leur test moins difficile tout en le laissant impénétrable par des bots.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Source : Source

13 commentaires
  1. @Eric je vois pas trop le rapport entre lutter contre l’inscription des bots et une manière de craquer les comptes des utilisateurs mais bon.

    De manière perso, j’ai constaté que le meilleur moyen d’empêcher l’inscription est encore la conception d’un système original, quel qu’il soit. Plus le système est utilisé, plus on trouvera des gens prêts à le craquer.

  2. Tel que décrit par l’article, on se demande en effet à quoi rime ce test, comme le constate Eric.
    Et puis on veut le beurre et l’argent du beurre: un test généré par un automate, mais compréhensible unique par un être humain. Même pas sûr que ce soit théoriquement possible…

  3. @speculoos : Tu critique Eric mais pour moi il a raison… Si on déchiffre un concept sur cette image, c’est censé être quelque chose qui devrait être la plupart du temps non abstrait :
    – un clown
    – un chat
    – etc…

    Du coup, ce sont des mots connus, il suffit de les bruteforcer à l’aide d’un dictionnaire.
    Quid du nombre d’essais avant que ça bloque…

    Enfin pour rebondir sur l’article, il est cohérent que des personnes ne décrivent pas la même chose à deux instants différents, étant dans un état psychologique différent, ils abordent le test différemment.
    D’après je ne sais plus quelles études, il a été prouvé que le cerveau interprète ce que nous voyons (enfin ce que nous croyons voir). Il suffit de conditionner le cerveau et ce que l’on “voit” peut être totalement différent.

    On peut prendre l’exemple de l’illusion d’optique où les enfants voient des dauphins alors que des adultes y voient un couple qui s’enlasse.

  4. Ca y est, j’ai compris ce qui manquait dans l’article: “Lors d’une prochaine utilisation, le site vous ressortira les images” –> les images *modifiées* ! Ca exploite la capacité de l’être humain à reconnaître des formes familières. Bref, il manque juste l’essentiel, rien de grave.

    Pour en revenir au test: les formes qu’on “devine” sont souvent liées à l’humeur du moment, à l’état psychologique du lecteur. C’est d’ailleurs tout l’intérêt de la chose. Rien de stable donc, pas étonnant que le taux d’échec sur des humains soit si élevé…

  5. La difficulté réside également dans le fait de gérer les déficients visuels et auditifs.

    Quelle que soit la nouvelle solution de CAPTCHA qui serait mise en place, il faut toujours apporter des alternatives pour ces personnes déficientes Par exemple, l’écoute audio d’une série de chiffres avec des bruits ambiants.

    Le problème, c’est que cela sera peut-être plus facile pour les robots de s’attaquer à ce système audio que de cracker un tout nouveau système tels que celui décrit dans la news.

    Je lance un appel aux codeurs volontaires, qui voudrait apporter une alternatives aux CAPTCHA, en proposant mon idée :

    Au moment de valider le questionnaire, une vidéo s’affiche (HTML5) avec une simple question qui défile (ex: De quelle couleur est le ciel ?) et un champ libre pour saisir la réponse.

    Techniquement, il y aurait des milliers de questions pré-enregistrées, mais à chaque fois elle seraient affichée de manière visuellement aléatoire (un coup en défilement vertical, en horizontal, en biais, des polices différentes, des couleurs différentes, des lettres animées etc mais toujours facilement lisible pour un humain).

    Un outil serait à la disposition des développeurs afin de créer sa propre liste de questions. Par exemple, une marque pourrait très bien poser des questions faciles sur leurs produits ou services.

    L’alternative pour les déficients visuels serait d’écouter la question dictée par la synthèse vocale.

    L’avantage de ce système est triple :

    – c’est simple pour l’internaute, s’il peut lire un texte d’une page, il peut donc aussi lire un texte encapsulé dans une vidéo

    – il est techniquement difficile d’analyser ce que diffuse une vidéo, d’autant plus que la question n’apparaîtra jamais 2 fois de la même manière.

    – Même si le robot franchit la première barrière en récupérant la question visuellement ou via l’audio, il reste une 2ème barrière de logique humaine qui reste compliqué à franchir.

    J’attends vos remarques / critiques constructives 😉

  6. Et demain un article du même genre : “Un vaccin contre le SIDA à base de PASTIS ?” (notez bien le point d’interrogation, c’est le petit détail qui fait la différence)

    Le SIDA c’est lourd. C’est vrai, une fois sur 3, on nous sert un cocktail médicamenteux indéchiffrable. La seule solution ? En demander un autre. Ce système a aussi un désavantage, il est de plus en plus contourné par le virus. L’intérêt d’un tel concept tombe alors à l’eau, puisque à la base, c’est bien fait pour que le système immunitaire détecte le virus.

    …. blah blah blah … (quelques lignes d’ineptiew techno-scientifico-marketo-foireuses)

    Mais le problème dans tout ça, c’est que la plupart des humains n’arrivent même pas à boire la quantité de PASTIS nécessaire !

    … blah blah blah …

    Mais les trois chercheurs continuent de plancher sur le sujet afin de rendre leur vaccin moins difficile à ingérer tout en le laissant toujours aussi efficace contre les virus”.

    Démonstration sur un article type JDG en modifiant quelques mots. Pour les blogueurs en herbe la trame d’un article est donc :

    Titre : quelques mots qui attirent le chalant crédule ? (avec le détail de ponctuation !)

    Section 1 : description d’un problème connu quelconque

    Section 2 : description d’une solution loufoque non démontrée

    Section 3 : la solution loufoque tombe à l’eau

    Section 4 : que reste-t-il ? des shadocks qui pompent pour renflouer la solution loufoque.

    Coût : temps perdu * nombre de cliques + temps de rédaction + temps moyen par commentaire * nombre de commentaire == augmentation de la dette française.

    ENCORE BRAVO AU JDG !

    ;-p

  7. ça va vraiment loin.. A quand une synthèse de 12 pages à rédiger pour s’inscrire sur un site ?
    Il doit bien y avoir des solutions moins contraignante pour éviter les bots quand même…

  8. Autrement dit vu que leur système n’est pas du tout probant les chercheurs au Carnegie Mellon University de Pittsburg vont devoir se remettre… à la tâche !

    Des chercheurs qui cherchent on en trouve, mais des chercheurs qui trouvent on en cherche.

  9. @Melendril

    Ouais, c’est vrai cracker des comptes user n’arrive jamais…

    Récemment c’est plus de 2 millions chez Adobe,
    je ne parle pas de paypal et consort….

    Si ce système s’impose, il y aura un réel but économique a créé des algo pour ces GOTCHA avec des dico de définitions.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *