Les GOTCHA remplaceront-ils les CAPTCHA ?

La plupart des personnes qui utilisent Internet connaissent le test de Turing public complètement automatisé pour distinguer les ordinateurs et les humains, également connu sous le nom de CAPTCHA. Ce sont les morceaux de textes déformés que l'on vous demande régulièrement d'identifier pour prouver que vous êtes humain. Leur objectif est d'empêcher les robots d'accéder aux sites Web, de les empêcher de laisser des spams, par exemple.





Les CAPTCHA ont connu un énorme succès depuis leur introduction en 2000 par Luis von Ahn et des amis de l'Université Carnegie Mellon de Pittsburgh. Mais dans le jeu du chat et de la souris de la sécurité informatique, il était toujours inévitable que les méchants dépensent des ressources importantes pour tenter de casser le système.

Et en effet, c'est exactement ce qui s'est passé. Comme il ne peut y avoir qu'un nombre limité de textes déformés stockés sur un disque dur donné, il est possible d'employer des personnes pour les cracker dans des conditions de misère. Une autre possibilité consiste à republier les CAPTCHA sur un autre site Web pour les visiteurs sans méfiance qui les complètent en pensant accéder à un site légitime. Au lieu de cela, les solutions sont utilisées en temps réel pour entrer illégitimement sur un autre site.

Les informaticiens ont donc beaucoup réfléchi à la manière d'améliorer ce mécanisme pour déjouer à nouveau les pirates. Aujourd'hui, Jeremiah Blocki et des amis de l'Université Carnegie Mellon disent qu'ils ont trouvé un moyen de le faire basé sur des motifs de taches d'encre.



La nouvelle approche est simple et repose sur le fait qu'un utilisateur répond à un certain nombre de questions lorsqu'il s'inscrit pour la première fois pour accéder à un site Web. Il commence par générer un ensemble d'images de taches d'encre simples en positionnant au hasard différentes taches d'encre colorées dans une petite zone de l'écran.

Dans le cadre du processus d'inscription, l'utilisateur est invité à écrire une courte phrase décrivant chacune de ces images.

Lorsque les utilisateurs reviennent pour accéder au site avec un mot de passe, ils voient également les motifs de taches d'encre et les phrases définies qui les décrivent. Leur tâche est ensuite d'attribuer la phrase correcte à chaque motif.



Ils appellent leur nouveau test un GOTCHA (Generating panOptic Turing Tests to Tell Computers and Humans Apart).

Blocki et ses amis disent que cela devrait déjouer une attaque automatisée. Nous soutenons que l'adversaire qui souhaite monter une attaque hors ligne rentable doit obtenir un retour constant d'un humain, disent-ils.

C'est parce que seul un humain peut reconnaître les modèles de manière cohérente et y établir un lien avec les phrases affichées - du moins c'est leur hypothèse.



C'est une idée intéressante. La capacité humaine à reconnaître les modèles dépasse de loin tout ce que les ordinateurs peuvent faire et il est intelligent de faire correspondre cela avec l'interprétation des modèles aléatoires par l'utilisateur. Il existe de nombreuses preuves que la reconnaissance des formes est plus facile que la mémorisation des mots de passe.

Mais cela soulève la question de savoir dans quelle mesure les gens se souviendront de leur interprétation originale d'une tache d'encre. Cela peut très bien dépendre fortement de leur état d'esprit à l'époque, qui à son tour peut être influencé par toutes sortes de variables locales et temporaires.

Pour tester cela, Blocki et co ont testé l'idée à l'aide de Mechanical Turk d'Amazon. Ils ont invité 70 Turcs à voir un certain nombre de motifs de taches d'encre et à écrire des phrases d'identification, en leur payant 1 $ pour accomplir la tâche. Puis, 10 jours plus tard, ils ont demandé aux mêmes Turcs de réassocier leurs phrases aux motifs de taches d'encre, encore une fois pour un paiement de 1 $.



Les résultats ne sont pas entièrement réconfortants. Dix-sept de nos participants ont correctement correspondu à leurs dix étiquettes, et 69% des participants ont correctement correspondu à au moins 5 étiquettes sur dix, disent-ils.

Blocki et co disent que les données indiquent qu'une fraction importante de la population pourrait utiliser les GOTCHA. Cela signifie également que l'utilisation de notre GOTCHA devrait être volontaire afin que les utilisateurs qui ont des dicultés ne soient pas bloqués sur leurs comptes, ajoutent-ils d'un air penaud.

Il est possible que les tests avec les Turkers ne soient pas représentatifs de la façon dont les gens ordinaires utiliseraient les GOTCHA. Par exemple, les Turcs se sont peut-être précipités à travers la première phase des tests pour apprendre plus rapidement leur argent.

Et il peut également être possible d'améliorer le taux de reconnaissance, peut-être en permettant aux utilisateurs de rejeter les images qu'ils trouvent confuses.

Cela semble être une amélioration claire et nécessaire si les GOTCHA doivent devenir une caractéristique commune de la sécurité Internet.

Réf : arxiv.org/abs/1310.1137 : Hackers de mot de passe GOTCHA !

cacher