Jeff Yan et Ahmad Salah El Ahmad, de l’École des sciences informatiques, de l’Université de Newcastle, en Angleterre ont récemment publié un document de recherche intitulé «Un faible coût pour une attaque sur Microsoft CAPTCHA », « A Low-cost Attack on a Microsoft CAPTCHA » démontrant comment ils ont réussi à attaquer les CAPTCHA de Microsoft utilisé sur plusieurs de leurs services en ligne tels que Hotmail et Windows Live, avec un taux de reconnaissance de plus de 92% .
Voici un résumé de la recherche:
Dans ce papier,
nous analysons la sécurité d’un texte à base de CAPTCHA conçu par Microsoft et déployés pendant des années à un grand nombre de leurs services en ligne notamment Hotmail, MSN et Windows Live.
Ce système a été conçu pour être résistant à la segmentation, et il a été bien étudiés et réglés
par ses concepteurs au fil des ans. Toutefois, notre attaque simple a atteint un taux de réussite de la segmentation de plus de 90% par rapport à ce régime. . Il a fallu ~ 80 ms pour
notre attaque afin de compléter un segment sur un ordinateur de bureau avec un CPU de Intel Core 2 1,86 GHz et 2 Go de RAM. En conséquence, nous estimons que le système de Microsoft
peut être rompu avec un ensemble (segmentation et reconnaissance) a un taux de réussite de plus de 60%. Cependant , son objectif était que « les scripts automatiques ne devait pas Avoir plus de succès que 1 / 10000 » tentatives (c’est-à-dire un taux de réussite de 0,01%). Pour la première fois, nous montrons qu’un CAPTCHA qui est soigneusement conçu pour être résistant à la segmentation est vulnérable à de nouvelles attaques simple. Nos résultats montrent que ce n’est pas une mince tâche de concevoir un système CAPTCHA qui est à la fois robuste et utilisable.
Conscient de l’énorme potentiel d’abus de spammeurs, les chercheurs ont notifié Microsoft en septembre 2007, puis attendent la réponse ; la publication papier le mois dernier. . Même si ils ont scientifiquement justifié leur succès, les CAPTCHA utilisés sur certaines des plus populaires services internet sont connus pour avoir été brisé avec succès dans le passé.Ce qui suit est une brève rétrospective de certains do-it-yourself CAPTCHA .
- en Juillet 2006, Fortinet a trouver le Ebay robots qui parlent automatiquement les uns aux autres et de recommander les uns aux autres, ce qui soulève la suspicion sur la rupture de la CAPTCHA d’Ebay ,en raison du traitement automatisé d’enregistrement et l’affichage des processus
- en Mars 2007, Vladuz Ebay CAPTCHA Populator est devenu disponible librement comme un add-on aux navigateur qui va rompre avec succès LE CAPTCHA d’eBay .Vladuz a été arrêté depuis .
- en Septembre 2007, un service qui brisait automatiquement le CAPTCHA de plusieurs fournisseurs de messagerie, et quand il n’était pas en mesure de reconnaître les CAPTCHA il laisserait le champ vide à Remplir par un humain, mais autogenerer les noms des comptes afin d’accélérer le processus
- en Octobre 2007, un autre DIY a éte trouver ,le seul facteur de différence par rapport au précédent était sa demande de la nature du CAPTCHA : le service dont CAPTCHA devait être briser est soumis une première fois afin d’etre analyser, et ensuite on détermine comment le rompre
- en Novembre 2007, une autre CAPTCHA breaking service est devenu accessible au public, cette fois il a déjà réussi à faire reconnaître les images CAPTCHA de certaines des plus populaires services Internet chinois
- en Février 2008, Websense a publié une analyse détaillée montrant Google CAPTCHA en cours
de rupture - en Février, Websense a publié une autre recherche, qui prouve cette fois la rupture CAPTCHA contre Windows Live Mail
- en Mars 2008, Wintercore Labs a montré comment Google CAPTCHA audio peut également être reconnu
- selon MessageLabs Intelligence rapports de Mars 2008, ils ont détecté une augmentation de spam provenant de courriel légitime des services tels que Gmail et Yahoo, avec Yahoo mail étant le plus abusé est responsable de l’envoi de 88,7 pour cent de tous les spam, cela est due au succès de la reconnaissance CAPTCHA de ces services
Tous ces faits indiquent clairement la demande et l’offre de services de rupture CAPTCHA , ainsi que la possibilité d’abuser du domaine lui même,réputation de la plupart des fournisseurs de courrier électronique qui accentue sur l’utilisabilité, à savoir l’élaboration de CAPTCHA plus facile à utiliser,se traduisant souvent par la facilité du processus d’automatiser.Aucune CAPTCHA n’est parfaite, et tout CAPTCHA est soumis à un grand nombre d’attaques, ce qui peut d’autre part rendre des personnes ambitieuse quand a la reconnaissance automatique . Et si la reconnaissance CAPTCHA est compromise sur une grande échelle, ces nouvelles approches et d’adaptation devraient être considérés comme les remplacements suivants du texte CAPTCHA.
- IMAGINATION: Image-Based Authentication
- Gif animé captcha
- KittenAuth
- ESP-pix – Le projet captcha
- Asirra
et si ça devient les nouveau captcha a résoudre (Cliquez pour agrandir) ??
ça part tellement loin parfois qu’on ne comprend même plus les caractères du captcha !
moi je dis stop aux captchas incompréhensibles : http://www.parlonsdunet.com/2008/08/23/quand-les-captchas-me-rendent-fou/