Un captcha efficace passe par une programmation minutieuse

Par 28 décembre 2011
Mots-clés : Smart city, Asie du Sud
captcha

Ces visuels qui permettent de vérifier que c’est bien un être humain qui cherche à se connecter restent une méthode sécuritaire efficace, à condition de s'assurer de leur complexité ainsi que de leur non réutilisation.

Afin de faciliter la mise au point de captchas (ces visuels qui permettent de s’assurer que c’est bien un être humain et non une machine qui cherche à se connecter) plus performants et solides, deux chercheurs de l'université du Kashmir se sont attachés à décrire de manière précise les failles usuelles et améliorations possibles de ce type de dispositif sécuritaire. Les hackers cherchent en effet à passer outre ces systèmes de manière automatique, afin de pouvoir faire intervenir un programme informatique ( un "bot") sur un serveur ou site normalement réservé à des interactions humaines (par exemple pour y faire de la pub). Mais il apparaît en fait que quelle que soit la méthode utilisée par le hacker, il existe toujours un moyen de la rendre inefficace, c'est à dire si plus coûteuse que le recours à un véritable humain.

Complexifier le motif pour rendre ineffectifs les logiciels graphiques

Parmi les techniques de piratage les plus courantes, citons l'usage de logiciels de reconnaissance graphique, qui dissocient les lettres du captcha pour mieux les reconnaître. Une technique que l'on peut contrecarrer en complexifiant l'image (rajout de cercles, de motifs...). Une autre technique, plus retorse, consiste à télécharger le mot de passe graphique pour ensuite le diffuser automatiquement sur un site partenaire du hacker. Lorsque les utilisateurs dudit site le complètent, le programme du hacker l'enregistre dans sa base de données, ce qui lui permet de le réutiliser à l'infini.

Des captchas plus résistants, mais pas inviolables

Là encore, plusieurs solutions existent. La première est de fixer une durée de vie limitée pour chaque captcha généré. Le temps que celui-ci soit transféré et complété sur le site voisin, sa durée de validité aura expirée. Un autre moyen est de contextualiser le mot de passe. C’est-à-dire de le concevoir de telle manière qu'il ne soit compréhensible que s'il est inséré dans l'univers du site auquel il donne accès. Mais malgré tous ces moyens de défense, les chercheurs reconnaissent toutefois qu'avec l'amélioration des logiciels de reconnaissance graphique, réussir à créer un captcha 100% inviolable est extrêmement complexe

 

Mentions légales © L’Atelier BNP Paribas