Le captcha de Yahoo cracké !

Par Korben le 29 janvier 2008

C’était une question de temps mais l’un des CAPTCHA les plus balèzes de la toile vient d’être craqué.

Pour ceux qui ne savent pas, un captcha, c’est le fameux code de sécurité qu’on vous demande à chacun de vos inscriptions un peu partout. En anglais, Captcha veut d’ailleurs dire “(C)ompletely (A)utomated (P)ublic (T)uring test to tell (C)omputers and (H)umans (A)part“. (test public de Turing complètement automatique ayant pour but de différencier les humains des ordinateurs)

Le principe du captcha est d’être un texte généré de manière aléatoire et déformé pour ne pas être lu par un ordinateur avec une reconnaissance de type OCR. Ce genre de code est l’une des sécurité anti-spam les plus fiables.

Voici à titre d’indication un tableau montrant la justesse d’une reconnaissance OCR d’un code par rapport à sa complexité.

Ca c’est du simple…

Par définition, un bon captcha est un captcha qui possède

  • Un fort contraste pour être lu par un humain
  • Une moyenne perturbation / déformation différente pour chaque lettre ou chiffre
  • Une police de caractère différente par lettre ou chiffre
  • Un brouillage en fond

En voici un beaucoup plus complexe car il est perturbé avec des traits de fort contraste :

Ce captcha est celui de Yahoo! mis à mal par des développeurs russes qui ont réussi l’exploit de “lire” ce captcha de manière automatisée avec un taux de réussite de 35 % (ce qui est énorme compte tenu de la complexité de ce dernier)

Alors le captcha est il aussi fiable que ça ? A voir…

Pour mieux connaitre le captcha, allez faire un tour sur Wikipedia et si vous voulez vous plonger dans le code de la chose pour mieux comprendre comment cela fonctionne voici le fichier mis à dispo par les russes pour cracker le captcha de Yahoo!.

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



12 Commentaire(s)

  1. MyAvatars 0.2

    Geoffrey Dorne Reply to this comment

    Hmmm, il y a maintenant les “questions clefs” auxquelles il faut répondre, ça marche bien aussi ça ! Sinon, je pense qu’avec une bonne réflexion graphique, il est possible de construire de nouveaux capchas (texte flou par exemple, ligatures entre les lettres, écriture manuscrite…) bref, plein de parades !

    Posté le 29 janvier 2008 à 11:17:51

  2. MyAvatars 0.2

    The Sorrow Reply to this comment

    Les captcha en gif animé aussi :)

    Posté le 29 janvier 2008 à 11:52:19

  3. MyAvatars 0.2

    Geoffrey Dorne Reply to this comment

    pas mal ! ;-) Ou un capcha en flash avec une bonne interpolation de forme… J’imagine que la machine qui essaye de reconnaitre le texte devrait tester plus de possibilité avec quelque chose qui bouge qu’avec un simple élément figé. Il faudrait que la machine capture par exemple 25 images (pour 1 ou 2 secondes d’animation) afin de tester toutes les possibilités ! Gniark !

    Posté le 29 janvier 2008 à 12:06:32

  4. MyAvatars 0.2

    Tibi Reply to this comment

    Dommage qu’il manque le code source de la fonction qui fait le vrai boulot de reconnaissance.
    Il y a aussi des fichiers un peu bizarres dans le rar…

    Posté le 29 janvier 2008 à 13:49:33

  5. MyAvatars 0.2

    Diti Reply to this comment

    J’espère que le captcha ne sera bientôt plus qu’un mauvais souvenir… car c’est comme les DRM : ça emmerde plus qu’autre chose, c’est contournable, et c’est pas accessible. Bel exemple d’usabilité réussie, pourtant le principe fondateur du http://WWW.

    Posté le 29 janvier 2008 à 17:56:47

  6. MyAvatars 0.2

    Geoffrey Dorne Reply to this comment

    pffff, les relous avec le w3c…

    Posté le 29 janvier 2008 à 18:01:45

  7. MyAvatars 0.2

    Ghusse Reply to this comment

    J’ai contacté un des chercheurs et obtenu une petite entrevue électronique.

    Posté le 29 janvier 2008 à 21:54:35

  8. MyAvatars 0.2

    Foudge Reply to this comment

    Diti> On va pas non plus supprimer tout ce qui est contournable, sinon il n’y aurait plus rien.
    Mon filtre anti-SPAM est contournable (parfois certains passent au travers), et bien crois moi ou non, malgré les petits inconvénients, je le garde quand même :)

    Posté le 30 janvier 2008 à 11:46:59

  9. MyAvatars 0.2

    Boupjof Reply to this comment

    Wow merci Korben pour cet article interessant, je vais voir ce que les russe on mis dans leur archive.

    Posté le 30 janvier 2008 à 21:05:29

  10. MyAvatars 0.2

    Diti Reply to this comment

    @Foudge : Bizarre, moi et Korben utilisons l’extension Askimet pour Wordpress, et, comme tu le vois, il n’y a aucun spam alors qu’il n’y a pas de captcha :) .

    Posté le 30 janvier 2008 à 22:37:04

  11. MyAvatars 0.2

    admin Reply to this comment

    @Diti : Parfois certains spams passent, même avec Akismet, mais je fais le ménage derrière…Enfin, ça fait le gros du boulot quand même !

    Posté le 30 janvier 2008 à 23:04:55

  12. MyAvatars 0.2

    Nico Reply to this comment

    Ca y est, la captcha de Gmail a été craqué!
    Le taux de réussite est assez faible avec 1 compte créer pour 5 tentés.

    Posté le 2 mars 2008 à 14:16:10

2 Trackback(s)

  1. 29 janvier 2008 à 14:20:49: de Ghusse’s » Les captchas ne sont pas une solution à long terme
  2. 29 janvier 2008 à 20:29:00: de Le captcha, différencier un humain d’un ordinateur « Veille Technologique

Lacher un com'

« Retour aux commentaires classiques (texte)