Ce test informatique permet de déterminer si l’utilisateur du système est un être humain ou un ordinateur. Si le nombre de requêtes adressées au site dépasse la valeur seuil, la protection est activée et l’utilisateur doit saisir les informations du CAPTCHA pour prouver qu’il ne fait pas partie d’un botnet. Ce n’est qu’alors qu’il aura accès à la ressource demandée.
Le test CAPTCHA lui-même est bien connu, mais son histoire comporte quelques faits intéressants qui méritent d’être mentionnés.
L’histoire incroyable du CAPTCHA
Le mot CAPTCHA est l’acronyme de « Completely Automatic Public Turing Test to Tell Computers and Humans Apart » (test public de Turing complètement automatique pour distinguer les ordinateurs des humains). Il consiste à poser une tâche qu’un humain peut résoudre assez facilement, mais qu’une intelligence artificielle (un ordinateur ou un robot) ne peut pas ou peut difficilement résoudre.
Le système original de vérification a été développé au début des années 2000 par des ingénieurs de l’université Carnegie Mellon (une université privée et un centre de recherche situé à Pittsburgh, en Pennsylvanie, aux États-Unis). L’équipe, dirigée par Luis von Ahn (plus connu sous le nom de Big Lou), cherchait un moyen de filtrer les multiples inscriptions et messages automatiques provenant de programmes robots (spam bots) qui se faisaient passer pour des humains.
L’équipe a développé un programme qui affichait un formulaire avec un texte tellement déformé que les humains pouvaient le comprendre, mais pas les robots informatiques. Toute personne confrontée à un tel contrôle devait saisir le texte correct dans le champ avant de pouvoir soumettre le questionnaire ou écrire un message.
Le programme a connu un tel succès qu’il a commencé à être largement utilisé dans le monde entier.
Malheureusement, les ingénieurs ont oublié une caractéristique humaine très importante : le désir de gagner de l’argent. Rapidement, un nouveau moyen de gagner de l’argent est apparu sur Internet : résoudre des CAPTCHA, qui ont commencé à être sponsorisés par des spammeurs générant des spams, des floods et des piratages de comptes. Ce type de revenu est devenu particulièrement populaire dans les pays pauvres, où la possibilité de gagner ne serait-ce qu’une petite somme d’argent pour des milliers de CAPTCHA résolus était très attrayante.
Malgré cela, le service est resté très populaire. Ses développeurs étaient tourmentés par une seule pensée : celle qu’ils obligeaient des millions de personnes à convertir sans raison des images en texte, leur faisant perdre leur temps dans des manipulations qui n’avaient d’autre but que la protection.
Dans une interview accordée au New York Times en 2011, Von An s’est demandé : « Peut-on faire quelque chose d’utile avec ce temps ? »
Après quelque temps, une nouvelle version a été introduite : l’application reCAPTCHA, qui reposait également sur la nécessité de saisir du texte à partir d’une image dans un formulaire, mais au lieu d’un ensemble aléatoire de lettres et de chiffres, l’utilisateur devait désormais déchiffrer du texte réel provenant de documents d’archives. Le logiciel est tout à fait capable de reconnaître du texte imprimé, mais avec le temps, l’encre s’estompe et l’ordinateur ne peut plus identifier certains mots, alors que les humains peuvent très bien s’acquitter de cette tâche.
Dans un premier temps, les numéros archivés du New York Times ont été soumis à la reconnaissance, puis, après la vente du service à Google en 2009, ce sont de vieux livres qui ont été déchiffrés. Il s’avère qu’à chaque fois que vous saisissiez du texte avec reCAPTCHA, vous effectuiez un travail gratuit pour l’une de ces entreprises, et les mots et expressions illisibles qui n’avaient aucun sens étaient en fait des fragments provenant de tests d’archives.
Bien sûr, tous les utilisateurs n’étaient pas satisfaits de leur travail « gratuit » pour Google, mais reCAPTCHA restait le moyen le plus efficace de lutter contre les robots. Von An était très satisfait de la nouvelle version du programme, assurant que le service allait perdurer très longtemps et qu’il y avait beaucoup de documents imprimés à reconnaître dans les archives.
Cependant, à l’ère de la haute technologie et du développement généralisé et complet d’Internet, ce qui semble moderne et progressiste aujourd’hui pourrait bien disparaître dans quelques années. Il pourrait en être de même pour CAPTCHA.
En 2014, les analystes de Google ont découvert que l’intelligence artificielle pouvait reconnaître et déchiffrer même les images CAPTCHA et reCAPTCHA les plus complexes avec une précision de 99,8 %, ce qui a une fois de plus rendu ces services pratiquement inutiles pour se protéger contre les robots Internet.
Pour résoudre ce problème, Google a commencé à améliorer la technologie et, au printemps 2012, une expérience a été lancée pour reconnaître des images provenant de Google Maps et Google Street View, dont certains fragments contenaient des numéros de tâches.
Début 2015, les développeurs ont introduit un nouveau système qui ne repose pas sur la capacité de l’utilisateur à reconnaître des mots ou des chiffres à partir d’une image, mais qui analyse son comportement sur la page du site web jusqu’à ce qu’il clique sur la case de vérification. Il suffit de cliquer sur le bouton « Je ne suis pas un robot » et de continuer à travailler.
L’algorithme analyse les actions de l’utilisateur et, sur la base des données obtenues, détermine s’il s’agit d’un humain ou d’un robot. Si l’analyse ne donne pas de réponse claire, l’utilisateur peut être invité à se soumettre à une vérification supplémentaire, par exemple en sélectionnant uniquement les images représentant des chats parmi plusieurs images d’animaux.
La « course à l’armement » entre les spécialistes de la sécurité et les spammeurs ne prendra jamais fin. De nouveaux mécanismes de protection continueront d’être développés, et de nouvelles méthodes intelligentes pour les contourner continueront d’être trouvées.
Actuellement, la technologie reCAPTCHA est l’un des moyens les plus fiables pour lutter contre les botnets et est utilisée avec succès dans Stingray Service Gateway pour se protéger contre les attaques DDoS, tandis que le développement constant de la plateforme et la sortie de nouvelles versions permettent d’utiliser des mécanismes de protection à jour.
