Les CAPTCHA sont-ils encore efficaces ? Les bots IA sont désormais plus rapides et plus précis que les humains pour les résoudre

Selon une étude

Les CAPTCHA, ces tests qui demandent aux utilisateurs de sites web de prouver qu’ils sont humains en reconnaissant des lettres ou des images déformées, sont de plus en plus inefficaces face aux bots, ces programmes informatiques capables de simuler des comportements humains. C’est ce que révèle une étude menée par des chercheurs de l’Université de Californie à Irvine, qui ont comparé les performances de 1 000 humains et de plusieurs bots sur 200 sites web populaires utilisant des CAPTCHA.

Vous avez certainement essayé d'accéder à certains sites Web et avez été bombardé d'une série d'énigmes vous obligeant à identifier correctement les feux de circulation, les bus ou les passages pour piétons pour prouver que vous êtes bien humain avant de vous connecter.

Completely Automated Public Turing test to tell Computers and Humans Apart (littéralement Test de Turing public entièrement automatisé pour différencier les ordinateurs des humains), mieux connu sous l'acronyme CAPTCHA, est une technologie destinée à protéger un site Web contre la fraude et les abus sans créer de friction. Les puzzles sont destinés à garantir que seuls les utilisateurs valides peuvent accéder au site et non les invasions automatisées.


La mesure de défense contre les robots remonte aux années 1990 et l'acronyme à 2003, la technologie commençant par une série déformée de lettres et/ou de chiffres.

Avec l’avancée des techniques d’intelligence artificielle et d’apprentissage automatique, les bots sont devenus capables de contourner ces tests avec une facilité déconcertante. Certains bots utilisent par exemple la reconnaissance optique de caractères (OCR) pour lire les lettres ou les chiffres déformés, ou la reconnaissance d’images pour identifier les objets demandés. D’autres bots exploitent les failles ou les erreurs des CAPTCHA pour les invalider ou les ignorer.

Face à cette situation, certains sites web ont opté pour des solutions alternatives aux CAPTCHA, comme par exemple le service reCAPTCHA de Google, qui analyse le comportement des utilisateurs en arrière-plan et ne demande un test que si le risque est élevé. D’autres sites web ont renoncé aux CAPTCHA et ont mis en place d’autres mesures de sécurité, comme par exemple la vérification par e-mail ou par SMS.

En 2021, l'analyste Akif Khan a rappelé l'évolution des CAPTCHA :

• étape 1. Les CAPTCHA ont commencé à être utilisés au début des années 1990, principalement par le moteur de recherche Alta Vista qui avait un énorme problème de spam – ils ont introduit le concept des lettres déformées ;
• étape 2. Après cela, reCAPTCHA a été créé, ce qui impliquait une paire de mots – et a été le début de l'utilisation de ce processus pour résoudre les problèmes d'IA, dans ce cas le book scanning. Le premier mot était connu du système, le second n'était pas identifié par le système et faisait partie d'un book scan. Google a fait l'acquisition de reCAPTCHA (qui servait à la numérisation de livres, là où échouaient les systèmes de reconnaissance optique de caractères) ;
• étape 3. ReCAPTCHA 2 est ensuite arrivé, qui consiste à cocher une case pour dire que vous n'êtes pas un robot, et Google fait des vérifications sur votre comportement d'utilisateur, puis une vérification secondaire potentielle, la désormais tristement célèbre sélection d'images. C'est un autre bon exemple d'utilisation de CAPTCHA pour résoudre des problèmes de vision industrielle, dans ce cas dans l'environnement de la circulation, on pourrait supposer pour les voitures autonomes. Compte tenu de l'accent mis dans les universités et dans le commerce sur ce problème particulier de vision industrielle, les mauvais acteurs ont été en mesure de tirer parti de nombreux outils pour développer des systèmes permettant de les vaincre. En fait, étant donné que Google Cloud vend des systèmes d'apprentissage automatique, il est fort probable que certains serveurs de Google créent des CAPTCHA et que d'autres les cassent ;
• étape 4. Google a déployé reCAPTCHA v3, qui n'est rien de plus qu'une case à cocher, et semble utiliser le même type d'outils que la plupart des fournisseurs de détection de bots en termes d'analyse du comportement des utilisateurs ;
• étape 5. Mais Google n'est pas le seul acteur sur le marché. Les CAPTCHA continuent d'évoluer, de nombreux fournisseurs investissant massivement dans leur propre version. Certains prétendent avoir des taux de résolution exceptionnellement élevés pour les humains et des taux de résolution faibles pour les bots. L'approche que certains ont adoptée est de se concentrer sur l'utilisation de défis de vision industrielle qui sont faciles à résoudre pour les humains et n'ont également aucune application commerciale, de sorte que contrairement aux applications de voiture autonome, les mauvais acteurs ne peuvent pas tirer parti des sources académiques, commerciales et open source pour construire des outils visant à résoudre ces CAPTCHA.

Les CAPTCHA, une technologie obsolète ?

Un document de recherche publié le mois dernier qui n'a pas encore été examiné par des pairs indique que les attaques automatisées par l'IA sur divers schémas CAPTCHA ont réussi. L'étude, menée par un groupe de chercheurs dont...