jeudi 17 avril 2008

Les Captcha de Microsoft sont aisément contournables

Le système utilisé par Microsoft pour déjouer les inscriptions automatiques de bots à son service de courrier électronique crée « un faux sentiment de sécurité »

Deux checheurs, Jeff Yan et Ahmad Salah El Ahmad, de l'université britannique de Newcastle, ont développé un outil capable de réussir 60% des Captcha mis en place par Microsoft pour valider les inscriptions au courriel de Windows Live Mail.
La technologie Captcha (Completely automated public Turing test to tell computers and humains apart) est un système de validation basé sur la reconnaissance humaine d'une série de caractères déformés. Pensé pour constituer une barrière contre l'utilisation d'outils automatisés chargés de multiplier les inscriptions - pour multiplier les émissions de pourriels -, le système s'avère donc très perméable. Il pourrait pourtant l'être moins, estime Jeff Yan, grâce à des solutions simples comme des lettres davantage entremêlées. Un moyen qui rendrait cependant aussi la résolution du Captcha plus compliquée pour les utilisateurs.

La faillibilité de cette technologie s'est accentuée au cours des derniers mois. Qu'il s'agisse de Microsoft, Yahoo ou Google, les Captcha mis en place pour protéger les services d'emails se sont montrés à de multiples reprises inefficaces, entraînant une explosion du nombre de spams expédiés par l'intermédiaire de ces services. Pourtant, le Captcha de Microsoft est bien conçu, selon les chercheurs, qui planchent sur le sujet depuis la mi-2007. « Pour la première fois, on voit un Captcha mis au moins par des professionnels sérieux... Néanmoins, concevoir un système parfait n'est pas facile. »

En février, certains hackers utilisaient une méthode leur permettant de contourner 30% à 35% des Captcha de Hotmail. Jeff Yan et Ahmad Salah El Ahmad sont parvenus à doubler ce taux. L'une des épreuves les plus délicates auxquelles ils se sont frottés consistait à parvenir à séparer les lettres composant les codes et les replacer dans le bon ordre, une étape baptisée segmentation. Pour y arriver, ils ont développé un procédé en sept étapes. Dans 92% des cas, cette méthode isole chacune des lettres présentes sur le Captcha de Microsoft. La reconnaissance des caractères appliquée par la suite permet de résoudre 61% des combinaisons.

L'outil fonctionne également avec les Captcha de Yahoo et Google, mais avec un taux de réussite inférieur.

Source : http://micro.lemondeinformatique.fr/actualites/lire-les-captcha-de-microsoft-sont-aisement-contournables-2087.html
Publié par à

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)