Humain ou bot ? Le reCAPTCHA Google invisible peut le savoir !

Il y a quelques années maintenant, Google avait simplifié son test reCAPTCHA, afin de prouver que vous étiez effectivement un humain. Ainsi, pour prouver que nous n’étions pas des bots automatisés, Google nous offrait une simple case à cocher “I’m not a robot” (“Je ne suis pas un robot”), afin de remplacer le déchiffrage de ces fameux caractères mélangés, formant souvent une masse informe, ou la résolution de problèmes mathématiques, qui quant à eux nous donnaient mal à la tête.

Selon Google : c’était beaucoup plus simple !

Selon nos lecteurs : Arrêtez cela tout de suite !!!!

Carol February 12, 2016 at 10:02 pm

Depuis des jours maintenant, à chaque fois que je partage une publication sur Facebook, ce test stupide apparaît, et je suis prête à me retirer de Facebook définitivement. Je me suis inscrite moi-même, je ne vois pas pourquoi je dois encore prouver que je ne suis pas un robot !!!!! encore et encore. J’en suis à mon quatrième test aujourd’hui, et j’en ai eu 14 hier, et je ne me rappelle même plus combien le jour d’avant, J’EN AI MARRE !! COMMENT ARRÊTER TOUT CA ?

 

nope September 24, 2016 at 9:10 pm

Qu’ils aillent au diable avec leur test, j’en ai marre, je suis un utilisateur et je n’ai pas à prouver qui que ce soit

A présent, Google l’a effectivement arrêté !

Le reCAPTCHA Google invisible sera disponible prochainement. Il s’agit d’un service gratuit conçu pour protéger les sites et les applications vis-à-vis des spams et autres abus, mais sans avoir besoin au préalable d’une véritable action de l’utilisateur, ou bien de la sélection d’une série de photos de chatons, ou encore de n’importe quelle autre action que les développeurs auront pu imaginer, pour prouver que nous sommes de véritables humains.

Google a déclaré sur sa page d’inscription pour les développeurs, que son reCAPTCHA Google invisible utilisera des technologies avancées d’analyses de risques, afin de pouvoir séparer les humains des robots : pas besoin de cliquer sur quoi que ce soit (ou bien de sélectionner des images associées avec une image de référence, comme des utilisateurs mobiles ont pu le faire).

Prouver que vous êtes bien un être humain peut devenir pénible, cependant il est tout de même intéressant de pouvoir bloquer les bots, qui quant à eux ne se fatiguent jamais. Ils ne se lassent pas non plus de causer toujours plus de dégâts sur leur passage.

Les bots récupèrent en masse les adresses email depuis la page de contact ou celle du livre d’or, mettent la main sur des sites web et réutilisent leur contenu sans la permission bien évidement, au niveau de pages web de type passerelle générée automatiquement, prennent part à des attaques de type DDoS (Distributed Denial of Service), et essaient de se connecter automatiquement au niveau de sites internet, en réutilisant des mots de passe volés lors de failles de sécurité.

Un exemple récent : l’attaque visant la loterie nationale anglaise, et durant laquelle des mots de passe ont été réutilisés.

Google a utilisé l’analyse de risques pour lutter contre les bots pendant des années. En 2013, il a dévoilé les coulisses de son système d’analyse de risques utilisé pour reCAPTCHA Google.

Nous découvrons alors qu’il ne s’agit pas uniquement de scruter le charabia que nous saisissons dans une case, ou encore d’analyser si les mouvements et les clics de notre souris semblent bien humains. En réalité, il s’agit plutôt d’observer le processus CAPTCHA dans sa globalité, du début à la fin : avant, pendant et après que nous ayons cliqué sur quoi que ce soit, et ce afin de déterminer si nous sommes effectivement composés d’atomes de carbone !

Selon Vinay Shet, product manager dans l’équipe Captcha Google, la différence entre des humains et des bots peut être dévoilée, avec précision, par le biais d’indices aussi subtils que la manière avec laquelle l’utilisateur (ou le bot) bouge sa souris juste avant de cliquer sur le bouton “I am not a robot”.

Inconsciemment, les humains laissent derrière eux des indices qui permettent d’établir s’ils sont des bots ou non : les adresses IP et les cookies montrent nos mouvements à d’autres endroits sur le web, et peuvent ainsi aider à prouver que nous sommes de véritables utilisateurs.

De toutes les façons, le reCAPTCHA Google ne s’est pas montré infaillible, du moins en comparaison avec les tests d’images.

En avril, un trio de chercheurs de l’Université de Columbia a réussi à trouver une manière d’augmenter la vitesse avec laquelle de nouveaux CAPTCHA pouvaient être testés, à deviner comment le processus des CAPTCHA fonctionnait en coulisses afin de duper le système, et enfin à utiliser d’autres services en ligne pour trouver automatiquement les CAPTCHA, et ce plus rapidement que les concepteurs de ces derniers n’auraient pu l’imaginer.

Le nouveau reCAPTCHA Google invisible signifie que ce dernier dissimule intégralement sa technologie de détection de bots/humains. Ainsi, les bots sont supposés ne plus pouvoir duper le système en faisant ce que les chercheurs avaient réussi à faire, à savoir utiliser la recherche sur Google Image, afin de parvenir à une liste de mots associés à des images précises, et ensuite automatiser les tests de clics avec ces dernières.

Pour tous ceux qui se sont arrachés les cheveux avec l’utilisation massive de reCAPTCHA sur Craiglist, la sélection invisible des humains vs bots, sera la bienvenue.

Pour ceux qui n’aiment pas et ne font pas confiance à cette tendance de Google à nous espionner silencieusement, en suivant les uns après les autres nos clics de souris, ainsi que tous les mouvements de notre curseur, et ce afin de connaitre quelle annonce nous plait le plus, cela risque de ne pas être une bonne nouvelle.

Bien sûr, il n’y a rien de nouveau ici dans la possibilité de Google de suivre nos mouvements de souris et d’analyser notre comportement sur les sites internet.

Facebook, Twitter, ou n’importe quelle page web peut suivre tous vos faits et gestes, et enregistrer tous les mouvements de curseur et les touches frappées.

L’enregistrement des frappes n’est plus un super secret en matière d’astuces pour espionner votre vie privée. Cela fait partie du bon vieux Web 1.0. Rien de neuf ici, mais cela vaut peut-être la peine de répéter : n’importe quel site internet peut capturer ce que vous tapez, au moment où vous le tapez, s’il le désire.

Si vous voulez voir ce suivi en direct, au moment où vous visitez un site internet, ClickClickClick est très amusant. Ce site ne se contente  pas de vous pister, il vous donne également un commentaire live de votre suivi, avec de nombreuses analyses amusantes sur le “pourquoi vous faites ce que vous êtes en train de faire”.

La réalité est que JavaScript, le langage qui rend possible ce type de pistage, est à la fois puissant et omniprésent.

Il s’agit d’un langage de programmation aux nombreuses fonctionnalités, qui peuvent être intégrées au sein des pages web, et qui de plus est comptable avec tous les navigateurs web. Il permet le suivi de la position de votre curseur, des touches frappées, et effectue des call-home sans rafraîchir la page ou faire apparaitre un quelconque signal visuel sur l’écran.

Ces possibilités ne sont pas intrinsèquement mauvaises. En réalité, elles sont terriblement utiles. Sans ce type de fonctionnalités, des sites tels que Facebook ou Gmail seraient inutilisables, les moteurs de recherche ne pourraient pas auto-suggérer, et Google Docs ne pourrait pas sauvegarder nos travaux en tâche de fond.

Dans le cas de Google et de ses avancées concernant reCAPTCHA, une telle fonctionnalité peut réellement stopper beaucoup de bots et les empêcher de commettre des actes bien plus ennuyeux que le simple fait de devoir saisir du texte en association à une image sans forme.

Mais est ce que cette initiative doit venir de Google ? Certaines personnes sur Twitter auraient préférés que ce ne le soit pas.

Sarah Jamie Lewis, une experte en Anonymat et confidentialité, a noté que les bots n’étaient pas tous malveillants. Certains peuvent être utiles, pour balayer le web à la recherche d’informations par exemple, ce type de bots qui n’est pas utilisé à des fins malveillantes.

Cependant, elle souhaiterait que Google ne mène la danse dans cette initiative :

I’d <3 a future where smart bots crawl for useful info & report back – I’d really like those bots to not to have to be licensed by Google.

— Sarah Jamie Lewis (@SarahJamieLewis) 5 décembre 2016

//platform.twitter.com/widgets.js

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Humain ou bot ? Le reCAPTCHA Google invisible peut le savoir ! : http://wp.me/p2YJS1-38a
Billet inspiré de Are you human or a bot? Google’s invisible reCAPTCHA will decide, par Lisa Vaas, Sophos NakedSecurity.