Des chercheurs craquent un système de sécurité audio

Une équipe d'informaticiens de l'Université de Stanford et de Tulane avec une expertise en intelligence artificielle, traitement audio et sécurité informatique a trouvé un moyen de neutraliser automatiquement les systèmes qui empêchent les spammeurs de créer de nouveaux comptes sur des sites comme Yahoo, Microsoft's Hotmail et Twitter .





De nombreux sites Web exigent que les utilisateurs transcrivent correctement une chaîne de caractères déformés (un puzzle connu sous le nom de CAPTCHA) pour y accéder. Ces tests sont relativement faciles pour les humains, mais très difficiles pour les ordinateurs. La plupart des sites proposent également des CAPTCHA sous forme audio, pour les utilisateurs malvoyants, et les chercheurs ont découvert que leur algorithme pouvait résoudre bon nombre de ces CAPTCHA audio. Des chercheurs de l'Université Carnegie Mellon ont déjà démontré la vulnérabilité des CAPTCHA audio, en 2008, mais les nouveaux travaux ciblent des versions plus récentes et plus sécurisées.

La capacité de vaincre automatiquement les CAPTCHA pourrait réduire le coût de production du spam pour les spammeurs. À l'heure actuelle, les spammeurs paient des salaires d'ateliers de misère à des humains pour résoudre les CAPTCHA, mais cela peut coûter jusqu'à un cent chacun.

Le chef d'équipe Elie Bursztein, de l'Université de Stanford, a déclaré que l'algorithme de l'équipe, appelé deCAPTCHA, était capable de vaincre les CAPTCHA audio de Microsoft et Yahoo dans près de la moitié des cas. Microsoft est depuis passé à un autre type de CAPTCHA, que l'algorithme est toujours capable de vaincre dans 1,5% des cas.



[En vainquant les mesures de sécurité,] si vous dépassez le seuil de 1%, vous avez beaucoup de problèmes, dit Burzstein. C'est presque un pass gratuit.

Luis Von Ahn, qui a inventé le terme CAPTCHA, dit qu'en réalité, les entreprises peuvent contrôler la vitesse à laquelle les CAPTCHAS audio sont compromis en limitant le nombre d'entre eux pouvant être résolus par jour, ou en limitant le nombre pouvant être résolus en une seule adresse IP. Mais, selon l'expert en sécurité Markus Jakobsson, il est très important de comprendre comment nous pouvons casser des choses avant que les méchants ne le fassent.

Un CAPTCHA audio lit à haute voix une chaîne de lettres ou de chiffres avec une distorsion audio supplémentaire. L'équipe de Stanford a créé un algorithme d'apprentissage pour traiter le son d'une manière aussi proche que possible de la façon dont nous pensons que l'oreille humaine est faite, explique Bursztein. Cela signifiait se concentrer sur les sons de basse fréquence, que les humains sont particulièrement bons à traiter, et éliminer autant que possible le bruit des CAPTCHA audio.



L'équipe de Bursztein travaille également à la création de plusieurs nouveaux types de CAPTCHA audio. Un type joue deux voix en lisant différentes chaînes de lettres ou de mots en même temps. Les humains sont particulièrement doués pour choisir une voix lorsqu'ils sont entourés de nombreuses conversations concurrentes dans une pièce bondée, mais les ordinateurs sont terribles pour cette tâche. Un deuxième type combine des mots avec de la musique.

Même si de nombreux CAPTCHA existants sont vulnérables aux attaques, explique Jakobsson, leur échec n'est pas aussi grave que la compromission d'un système de mot de passe. [Défaite CAPTCHA] est une dégradation progressive de la sécurité. Vous n'avez pas besoin de garder tout le monde à l'extérieur pour avoir l'impression d'être en sécurité - certains échecs sont tolérables.

cacher