Des chercheurs d’ETH Zurich ont mis au point un programme de machine learning capable de résoudre parfaitement les défis de reconnaissance d’image de Google reCAPTCHA v2, rendant ces tests de sécurité de moins en moins efficaces. Alors que les bots deviennent plus sophistiqués, l’avenir de la technologie Captcha semble compromis.
Des chercheurs de l’ETH Zurich ont conçu un programme de machine learning capable de résoudre avec une précision parfaite les défis de reconnaissance d’image de Google reCAPTCHA v2. Bien que ces tests souvent critiqués deviennent obsolètes, ils jouent toujours un rôle important dans la sécurité sur Internet.
Les défenses Captcha sont depuis longtemps engagées dans une guerre technologique contre des bots conçus pour les contourner. Une étude de l’année dernière a révélé que les bots pouvaient passer presque tous les variants CAPTCHA plus rapidement et avec plus de précision que les humains, sapant ainsi l’objectif d’une mesure de sécurité qui permettrait aux humains de passer tout en bloquant les bots.
La méthode de l’étude de Zurich s’appuie sur des modèles de machine learning antérieurs et augmente considérablement leur taux de réussite. Les efforts open-source et les études précédentes ont montré des résultats variés avec les modèles You Only Look Once (YOLO), mais la dernière expérience a atteint une précision de 100 %. Initialement, ces modèles pouvaient facilement identifier des images d’objets comme des feux de circulation ou des voitures, mais avaient des difficultés avec les mesures de sécurité qui vérifient d’autres signes d’activité humaine.
Beaucoup de tests Captcha tentent également de détecter des mouvements de souris ressemblant à ceux d’un humain et lisent des cookies pour différencier les humains des bots. Certains, comme Cloudflare, consistent en une simple page qui vérifie ces signes tout en nécessitant un minimum d’interaction humaine. La première ligne de défense de Google est similaire, mais elle peut recourir à des tests de reconnaissance d’image reCAPTCHA v2 dans certaines situations, rendant ainsi cette méthode potentiellement vulnérable aux bots.
Pour atteindre une précision parfaite avec un modèle YOLO, il a été nécessaire de modifier YOLOv8 avec un logiciel supplémentaire pour émuler des mouvements de souris et simuler un historique de navigation. De plus, les chercheurs ont utilisé un VPN qui change dynamiquement d’adresses IP afin que les défis ne reconnaissent pas plusieurs tentatives de connexion comme provenant de la même adresse.
L’expérience démontre que l’émergence du machine learning et de l’IA générative pourrait mettre la technologie Captcha dans une position test, car des combinaisons de logiciels largement disponibles peuvent désormais surmonter ces tests. De plus, YOLOv8 peut fonctionner localement sur des matériels relativement modestes, augmentant ainsi le potentiel d’attaques automatisées à grande échelle utilisant de nombreux dispositifs peu coûteux. Les géants de la technologie poursuivent leur recherche de méthodes alternatives pour protéger le trafic Internet contre les bots.