Des chercheurs s'attaquent aux captchas de Microsoft, eBay et Yahoo!

Des chercheurs des universités de Standford et de Tulane ont réussi à craquer le système de protection captcha implémente sur plusieurs sites Internet majeurs.

La sécurité par captcha est généralement proposée avant l'ouverture d'un compte utilisateur ou avant la publication d'un commentaire sur un blog. Le système consiste à écrire au sein d'un champ de texte une série de caractères automatiquement générés afin de prouver que l'interaction avec le site n'est pas faite par un robot. Par souci d'accessibilité, ces dispositifs proposent également d'écouter la série de chiffres et de lettres, laquelle est plus ou moins audible en fonction du fond sonore ajouté (musique, seconde voix interposée, bruitage...). Le fond sonore est précisément conçu pour qu'aucun logiciel ne puisse opérer une reconnaissance de caractères et requiert donc que la lecture soit faite par une personne humaine.



Cependant, c'est précisément le système audio du dispositif de sécurité qui présenterait des faiblesses. Les universitaires ont mis au point le logiciel Decaptcha capable de reconnaître les caractères dictés pour ensuite les retranscrire. Au travers des tests effectués Decaptcha fonctionnerait entre 1,5% et 89% du temps. Interrogé par le magazine NetworkWorld, le post-doctorant Elie Bursztein précise que Decaptcha aurait enregistré un taux de réussite de 82% sur le site d'eBay, 48,8% sur les sites de Microsoft, 45,5% sur ceux de Yahoo! et 42% sur digg.com

« Un algorithme informatique capable de résoudre un captcha 1 fois sur 100 peut permettre à une personne malveillante de mettre en place assez de comptes frauduleux », explique ainsi le chercheur. L'équipe a mis au point un algorithme capable de lire la suite de lettres et de chiffres et de déterminer leur nombre respectif. Puis chaque caractère est comparé à une bibliothèque de son. Après avoir « entrainé » leur algorithme, l'équipe explique que ce dernier serait capable de décoder une dizaine de captchas par minute.