IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

CAPTCHA ou pas CAPTCHA ? Gartner préconise leur utilisation
Mais recommande de recourir aux moins ennuyeux que vous puissiez trouver

Le , par Stéphane le calme
4 commentaires

2.3KPARTAGES

11  0 
Le cabinet d'analystes Gartner a préconisé l'utilisation des CAPTCHA, mais recommande d'utiliser les CAPTCHA les moins ennuyeux que vous puissiez trouver. L'opinion de la société est contenue dans un article de l'analyste directeur principal Akif Khan, qui a noté que les CAPTCHA créent des frictions pour les humains, mais restent une défense imparfaite contre les bots. Malgré tout cela, Khan a plaidé en leur faveur, à quelques exceptions près.

Pour mieux contextualiser son analyse, Akif Khan a commencé par rappeler l'évolution du CAPTCHA :
  • Étape 1. Les CAPTCHA ont commencé à être utilisés au début des années 1990, principalement par le moteur de recherche Alta Vista qui avait un énorme problème de spam – ils ont introduit le concept des lettres déformées.
  • Étape 2. Après cela, reCAPTCHA a été créé, ce qui impliquait une paire de mots – et a été le début de l'utilisation de ce processus pour résoudre les problèmes d'IA, dans ce cas le book scanning. Le premier mot était connu du système, le second n'était pas identifié par le système et faisait partie d'un book scan. Google a fait l'acquisition de reCAPTCHA (qui servait à la numérisation de livres, là où échouaient les systèmes de reconnaissance optique de caractères)
  • Étape 3. ReCAPTCHA 2 est ensuite arrivé, qui consiste à cocher une case pour dire que vous n'êtes pas un robot, et Google fait des vérifications sur votre comportement d'utilisateur, puis une vérification secondaire potentielle, la désormais tristement célèbre sélection d'images. C'est un autre bon exemple d'utilisation de CAPTCHA pour résoudre des problèmes de vision industrielle, dans ce cas dans l'environnement de la circulation, on pourrait supposer pour les voitures autonomes. Compte tenu de l'accent mis dans les universités et dans le commerce sur ce problème particulier de vision industrielle, les mauvais acteurs ont été en mesure de tirer parti de nombreux outils pour développer des systèmes permettant de les vaincre. En fait, étant donné que Google Cloud vend des systèmes d'apprentissage automatique, il est fort probable que certains serveurs de Google créent des CAPTCHA et que d'autres les cassent.
  • Étape 4. Google a déployé reCAPTCHA v3, qui n'est rien de plus qu'une case à cocher, et semble utiliser le même type d'outils que la plupart des fournisseurs de détection de bots en termes d'analyse du comportement des utilisateurs.
  • Étape 5. Mais Google n'est pas le seul acteur sur le marché. Les CAPTCHA continuent d'évoluer, de nombreux fournisseurs investissant massivement dans leur propre version. Certains prétendent avoir des taux de résolution exceptionnellement élevés pour les humains et des taux de résolution faibles pour les bots. L'approche que certains ont adoptée est de se concentrer sur l'utilisation de défis de vision industrielle qui sont faciles à résoudre pour les humains et n'ont également aucune application commerciale, de sorte que contrairement aux applications de voiture autonome, les mauvais acteurs ne peuvent pas tirer parti des sources académiques, commerciales et open source pour construire des outils visant à résoudre ces CAPTCHA.

Le pour et le contre

« Revenons donc à l'essentiel : pourquoi certaines entreprises aiment-elles utiliser les CAPTCHA ? Eh bien, la logique est simple. Si votre solution de détection de bot pense que l'utilisateur est un bot, vous pouvez bloquer cet utilisateur. Mais aucune solution n'est parfaite, et si l'utilisateur n'est pas un bot ? Alors vous venez de bloquer un bon utilisateur. Et donc le CAPTCHA représente une opportunité, il représente l'espoir, que s'il s'agit réellement d'un bon utilisateur, alors ils peuvent le prouver en résolvant le CAPTCHA et continuer leur chemin.

« Alors pourquoi certaines entreprises détestent-elles les CAPTCHA ? Eh bien, le taux de résolution des (bons) humains sur les CAPTCHA peut parfois être assez faible, ce qui empêche les bons utilisateurs de continuer. De plus, pour les bons utilisateurs qui résolvent le CAPTCHA, c'est souvent un ajout ennuyeux à l'expérience utilisateur. Et les taux de résolution des mauvais acteurs sur les CAPTCHA peuvent parfois être assez élevés, bien que ce soit un point nuancé, car dans certains cas oui peut-être que les bots ont été formés pour résoudre les CAPTCHA, mais dans d'autres cas les bots cèdent la session à un humain pour résoudre le CAPTCHA – il existe une industrie florissante de services de résolution de CAPTCHA alimentés par l'homme – généralement, les personnes vivant dans des environnements à faible revenu reçoivent une somme dérisoire par CAPTCHA, en résolvant des milliers d'entre eux chaque jour ».


Alors faut-il ou non utiliser un CAPTCHA 
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

4 commentaires
Commenter Signaler un problème
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 23/06/2021 à 19:03
Citation Envoyé par ArchiTech Voir le message

Mais une solution d'avenir serait d'authentifier tout le monde, mais pas avec un système propriétaire ou fermé, comme Cloudflare ou Google (encore un moyen de tracer / collecter des données personnelles), plutôt un système ouvert, libre, indépendant. Mais tout le monde n'est pas prêt à accepter cela (changement d'habitudes, plus aucun d'anonymat ...).
Encore heureux que tout le monde n'est pas prêt à l'accepter. Un système libre et indépendant ça n'existe pas, et si ça existait, ça deviendrait une source extrêmement attractive pour tous les pirates.

Citation Envoyé par smarties Voir le message
Si le but est de limiter les robots :
- un serveur web bien configuré limiterais le nombre de requêtes par seconde
- un captcha simple et lisible (y compris pour les daltoniens) pour les humains car de toute façon, il y aura toujours des robots qui seront capable de résoudre les captcha
- mettre aléatoirement, un captcha simple ou une opération ou une question

S'il faut éviter la brute force sur les mots de passe, utiliser bcrypt (ou similaire) et rallonger le temps entre chaque echec, éventuellement, bannir pour un temps donné
Clairement, oui!

Citation Envoyé par JP CASSOU Voir le message
Autre fléau: Les mots de passe. Juste ingérable.
Alors il y a des gestionnaires de mot de passes qui sont vraiment bien foutus aujourd'hui pour gérer ça.
Ce qui me dérange le plus ce sont les sites qui mettent des politiques de mot de passe vraiment nazes (limite sur le nombre max très courte, plage très restrictive, etc).
1  0 
JP CASSOU
Avatar de JP CASSOU
Membre confirmé https://www.developpez.com
Le 23/06/2021 à 9:13
Les captcha font assurément partie des fléaux du Web. Surtout les captcha images
Et quand on est en environnement professionnel (administration publique), c'est juste imbitable.
Exemple hier après midi: 17 matrices d'images à résoudre avant de pouvoir accéder au site désiré.

Autre fléau: Les mots de passe. Juste ingérable.

La palme de l'inutilisabilité est décernée au site AR24.fr (recommandé électronique): plus de 15 étapes dont une prise de vidéo pour pouvoir créer un compte
0  0 
ArchiTech
Avatar de ArchiTech
Membre du Club https://www.developpez.com
Le 23/06/2021 à 11:43
A mon avis, il faut abandonner complètement ce concept obsolète des CAPTCHA (et variantes) :

  • La quasi totalité des systèmes sont contournables par les robots ((re)Captcha de type photos, texte sous forme d'image, audio, calcul et test logique, etc), de différentes manières : en sous-traitant le décodage en masse à des humains (pays à bas coûts), avec des IA de plus en plus performantes, etc. D'ailleurs les IA ont couramment meilleurs scores que les humains à ces tests.
  • Ils ne sont pas "accessibles" (pour les personnes ayant un handicap), ni pour les "valides" d'ailleurs : ceux qui utilisent encore les CAPTCHA sont obligés de tellement les complexifier qu'il est "souvent nécessaire d’effectuer plusieurs tentatives avant de répondre correctement à un CAPTCHA" (je cite l'un des sources ci-dessous, j'en ai déjà moi-même fait l'expérience de nombreuses fois, sans avoir d'handicap !).
  • Il ne faut pas non plus négliger le fait que pour certains visiteurs/clients de services en ligne la présence d’un (re)CAPTCHA est tout simplement rédhibitoire.
  • Les systèmes type reCAPTCHA posent les mêmes soucis que les CAPTCHA (exemple en janvier 2021, un chercheur a trompé la dernière version de reCAPTCHA, les versions précédentes avaient été également contournées, voir source plus bas), en plus d'autres problèmes (nécessite des accès sur les navigateurs à des script tiers - qui peuvent être bloqués -, sans parler de la captation de données - y compris personnelles - par Google). Concernant ce dernier point, la CNIL a d'ailleurs mis en demeure le ministère de la santé pour l'utilisation des reCAPTCHA dans l'application StopCovid (en 2020).
  • A ma connaissance il n'y a pas d'alternatives sérieuses/utilisables/fiables à ce jour aux (re)CAPTCHA, c'est évidemment regrettable, même si je ne doute pas que d'excellents chercheurs doivent travailler sur le sujet et trouveront peut être une solutions réllement innovantes (et non un enième variante de "CAPTCHA".

Si l'on veut limiter les accès/attaques, il faut déjà s'occuper du filtrage des IP (dynamique, fail2ban, etc), bloquage des échecs d'authentification par couple (IP, login), et pas seulement par login.... etc

Mais une solution d'avenir serait d'authentifier tout le monde, mais pas avec un système propriétaire ou fermé, comme Cloudflare ou Google (encore un moyen de tracer / collecter des données personnelles), plutôt un système ouvert, libre, indépendant. Mais tout le monde n'est pas prêt à accepter cela (changement d'habitudes, plus aucun d'anonymat ...).

Quelques sources :
https://a11y-guidelines.orange.com/f...accessibilite/
https://fr.wikipedia.org/wiki/CAPTCH...#Contournement
https://fr.wikipedia.org/wiki/ReCAPTCHA
0  0 
smarties
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 23/06/2021 à 11:46
Si le but est de limiter les robots :
- un serveur web bien configuré limiterais le nombre de requêtes par seconde
- un captcha simple et lisible (y compris pour les daltoniens) pour les humains car de toute façon, il y aura toujours des robots qui seront capable de résoudre les captcha
- mettre aléatoirement, un captcha simple ou une opération ou une question

S'il faut éviter la brute force sur les mots de passe, utiliser bcrypt (ou similaire) et rallonger le temps entre chaque echec, éventuellement, bannir pour un temps donné
0  0