la méthode du captcha le saviez vous ??

CAPTCHA, essai de formulaire sécurisé et accessible






Publié par Thanh
le Dimanche 19 déc 2004 à 04h12


Rangé dans Standards & Co
, marqué Accessibilité


Ce billet a été lu 5 994 fois et compte
14 commentaires







[acronym]CAPTCHA[/acronym] est un système de test visuel ou auditif que
ne peuvent pas passer les machines actuellement (?) alors que la grande
majorité des êtres humains le peuvent. Sous sa forme visuelle, il
consiste à générer une image contenant une série aléatoire caractères
alphanumériques qui fait office de clé de confirmation.

Cette technique fait ses preuves dans le cadre de sondages en ligne ou
de validation de formulaire. Même les blogs, plus récemment, peuvent
aussi se protéger des robots spammeurs et de leurs commentaires
indésirables.

Préambule


[img=Fangs/wow les canines!]/img/blog/web/fangslogo_80.png[/img] Après lecture des billets de Thierry | egographies et de Chantal
sur les techniques anti-spams j'ai eu l'idée de travailler sur un
principe de protection de formulaire. La contrainte étant de rendre ce
dernier accessible, l'utilisation des images était donc exclue. (CAPTCHA et accessibilité) Grâce à Fangs, le précieux émulateur de lecteur d'écran pour Firefox, j'ai pu "visualiser" le comportement de mon test .

Pseudo-CAPTCHA


Soit un formulaire classique, nous allons ajouter une liste de
caractères alphanumériques aléaoire (6 dans notre exemple). Un lecteur
d'écran met en avant les éléments tels que le titre de page, les titres
(Hn), les liens … mais surtout les éléments d'une liste. L'appareil ne
tiendra pas compte d'une éventuelle mise en page (à vous de présentez
comme bon vous semble la succession d'entrées) mais soulignera bien
chaque éléments, un par un.
La clé qui servira à la validation sera une combinaison de 3 caractères
parmis ceux affichés dans la liste. Afin de tromper les robots, une
règle aléatoire de composition sera appliquée. Je me suis arrêté à trois
règles très simples :

• Saisir les 3 premiers caractères de la série
  
• Saisir les 3 derniers caractères de la série
  
• Saisir 3 caractères dont les rangs sont définis de manière aléatoire
  

Afin de vérifier que la clé saisie correpondait à celle dictée par la
règle de composition, j'ai été confronté à deux possibilités. Je pouvais
utiliser les sessions pour stocker la clé valide pour la comparer à
celle de l'utilisateur après soumission. Mais j'ai opté pour la seconde
méthode afin de ne pas avoir à justement utiliser les variables de
sessions. Je crypte donc la clé grâce à md5() et je transmet la valeur via le formulaire. Coté serveur, il suffira donc de crypter également la clé saisie et de comparer.

Voilà le résultat obtenu: Essai de formulaire

Avantages et inconvénients


Ce système, si il gagne en accessibilité perd en efficacité. Il est
toujours possible de programmer un robot qui serait apte à reconnaître
les règes de composition des clés. On peut bien sûr jouer sur le
paramétrage (longueur de la série de caractères, longueur de la clé,
nuance des phrases, création de règles) mais la méthode des images
restent encore la plus sûre .

Finalement …


Cette démonstration résulte d'une réflexion sur les moyens que l'on peut
mettre en oeuvre pour sécuriser les formulaires mais en aucun cas je
n'affirme apporter la solution.

Ne pas oublier

• Vous pouvez tester l'exemple ici
  
• Vous pouvez également télécharger les sources (PHP)
  
• Le projet CAPTCHA sur le net : c'est par là ou là
  
• N'oubliez pas d'installer Fangs ^^
  

14 Comments to “CAPTCHA, essai de formulaire sécurisé et accessible”


You can follow all the replies to this entry through the comments feed.

1. 
   
   snoop
   
   
   
   
   19 décembre 2004
   at 15 h 26 min
   | Permalink
   
   
   
   
   
   
   Les robots spammeurs font-ils autant de dégats que ça sur les blogs ?
   [hors sujet]
   Tu as modifié ton billet initial, et tes listes à puces se retrouvent maintenant férrées à gauche contre le trait vertical.
   [/hors sujet]
   
   
   
   
2. 
   
   solo
   
   
   
   
   19 décembre 2004
   at 16 h 23 min
   | Permalink
   
   
   
   
   
   
   Je crois que les weblogs autant que les sites sont soumis aux
   attaques. J’ai pris connaissance des spams de commentaires en lisant le
   billet de Dive The Web.
   Pour ma part suis épargné et ne subis « que » le spam des referers que je gère avec une blacklist.
   pour le hors sujet>Merci snoop, j’ai corrigé (une erreur dans la feuille de style)
   
   
   
   
3. 
   
   snoop
   
   
   
   
   19 décembre 2004
   at 16 h 36 min
   | Permalink
   
   
   
   
   
   
   Je comprend pas tout.
   CAPTCHA tel que tu le montres ou le montre Divetheweb consiste à obliger
   l’internaute à saisir un code alphanumérique pour confirmer que le
   message soumis par un formulaire ne provient pas d’un robot spammeur,
   c’est ça ?
   Ton test est différent car tu rends le CAPTCHA accessible.
   Maintenant, ma question est : est-ce que autant de blogs se retrouvent
   avec des messages générés par des robots et quelle est la nature de ces
   messages (publicitaire ?) ?
   [hors sujet bis]
   Pas trés pratique le changement de couleur de police lorsque la souris
   est dans le textarea ; ça oblige à bouger la souris de cette zone pour
   mieux voir ce qu’on écrit.
   Avis perso bien sûr…
   [/hors sujet bis]
   
   
   
   
4. 
   
   solo
   
   
   
   
   19 décembre 2004
   at 16 h 40 min
   | Permalink
   
   
   
   
   
   
   > est-ce que autant de blogs se retrouvent avec des messages
   générés par des robots et quelle est la nature de ces messages
   (publicitaire ?) ?
   Les messages sont de nature pornographiques le plus souvent et
   permettent à leurs auteurs d’avoir des liens vers leur site en dur sur
   les blogs attaqués. Quand à savoir la proportion de blogs attaqués ça
   mérite une petite recherche …
   Pour le changement de couleur, c’est vrai c’est pas très pratique et je vais regarder ça
   
   
   
   
5. 
   
   snoop
   
   
   
   
   19 décembre 2004
   at 16 h 56 min
   | Permalink
   
   
   
   
   
   
   Je suis trés perplexe sur ce système (pas le tien) ou plutôt sur son utilisation.
   Qu’il soit utilisé depuis une interface d’administration se comprend
   trés bien, mais de là à obliger, car il ne faut pas avoir peur des mots
   et de leur sens, un internaute à saisir un code pour valider son
   formulaire, c’est d’une éthique tout à fait discutable.
   Les mals voyants sont bannis et exclus de pouvoir laisser des commentaires sur tout système utilisant ce procédé.
   Bref, ce procédé appliqué aux systèmes de discussions courants du web
   (forums, blogs) est vraiment paradoxal, car la majorité des blogeurs
   étant des personnes respectueuses des standards (ou essayant de l’être),
   cette majorité va dans le même temps appliquer un procédé
   anti-accessible pour une seule raison : bloquer les robots spammeurs !?
   Mais sincèrement, combien de blogeurs ont déjà eu affaire à des robots spammeurs ?
   N’est-ce pas curieux d’afficher une telle étiquette:
   « Site valide XHTML Strict, CSS et toutiquanti, mais interdit aux mals voyants et aux aveugles ».
   Tu as le mérite de proposer ici une méthode accessible au détriment
   de l’efficacité de sécurisation (c’est tout relatif cependant), mais je
   reste quand même perplexe et je ne suis pas certain par exemple
   qu’Opquast approuverait cette méthode.
   Pour inviter un internaute à réagir sur son blog ou forum, la règle d’or est de lui mettre le moins de batons dans les roues.
   Certains forums t’obligent à recevoir le mot de passe sur ton compte POP
   (ou à connaître tes accés webmail par coeur), à activer un lien de
   confirmation, à t’identifier, bref tout un procédé qui resssemble
   étrangement à Brazil par sa complexe absurdité administrative.
   D’autres blogs t’obligent à saisir une adresse email !
   Mais pourquoi aurait-on obligatoirement une adresse email en ayant accés
   à internet ? Et tous ceux qui ne savent pas feinter le champ
   obligatoire par un toto@toto.com se retrouvent punis et interdits d’expression.
   Donc, le sujet revient finalement à dire : mais où on va, là ?
   Personnellement, je serais plus curieux de savoir comment fonctionnent ces robots spammeurs (je ne parle pas des pourriels).
   Ne serait-il pas plus correct et plus simple d’inclure une fonction
   PHP qui va détecter via $_SERVER["HTTP_USER_AGENT"] et un tableau
   listant les robots spammeurs afin de leur interdire l’accès à une page
   contenant un formulaire ?
   

Nouvelle méthode de captcha de Google





De plus en plus de site et de service nous demandent de regarder une
série de chiffres et de lettres et d’y inscrire dans un champ de
formulaire ce que nous percevons. Cette méthode, captcha, sert à vous
distinguer en tant qu’humain, et non « ordinateur ». Cependant, il
existe des moyens de contourner ce captcha puisque des programmes
peuvent aussi bien faire que l’humain.

Google a présenté une nouvelle méthode de Captcha : par orientation
de l’image. Par exemple une image placée de différents angles, où l’on
doit indiquer laquelle est du bon côté. Une autre technique décrite dans
leur document pdf, s’agirait de pivoter une image jusqu’à ce qu’on juge qu’elle est du bon côté.

Espérons que ce soit fiable et pas aussi compliqué que certains captcha...





Publié le 2009-04-23 08:00:36

Les attaques contre le CAPTCHA





Le CAPTCHA, mis en place dans les années 2000, a été jusqu'à aujourd'hui
une protection incontournable pour différencier l'homme d'un robot.
Les pirates ont compris l'intérêt de casser cette méthode afin de
pouvoir polluer les forums ou de créer automatiquement des comptes mail.

Depuis quelques mois, les techniques d'attaques contre les CAPTCHA se développent.
Présentation et explications des différentes techniques utilisées par les pirates...



Introduction


Présentation des CAPTCHA





Le SPAM est devenu, année après année, un fléau qui ne cesse de
progresser. Les pourriels représentent une part de marché de plus en
plus importante chaque jour.
On estime à près de 90% le pourcentage des emails publicitaires
et frauduleux sur l'ensemble des emails envoyés à travers le
monde�autant dire que la guerre est perdue...

Le SPAM peut également revêtir une autre forme, les spammeurs tentent de
s'attaquer au contenu de forums afin d'y insérer leurs publicités ou
redirection vers d'autres sites malveillants.

Auparavant, aucun mécanisme ne pouvait empêcher des outils et des virus
de créer des comptes sur les webmails ou d'insérer des commentaires au
sein de forums de manière automatisée.

Afin d'y remédier, les développeurs ont mis en place à partir de 2000, le CAPTCHA (Completely AutomatedPublic Turing test to tell Computers and Humans Apart), méthode destinée à différencier les humains des machines.
Cette méthode repose sur le principe qu'en fournissant une image
contenant des caractères déformés, seul un humain était capable d'en
extraire lecontenu et de saisir les lettres sur son clavier.

Le CAPTCHA est particulièrement utilisé sur les forums ou sur les
webmails lors de la création de comptes ce qui empêche les spammeurs de
mener leurs campagnes publicitaires de manière automatisée.





Les pirates face aux CAPTCHA





Face à ces protections, les pirates ont dû trouver des moyens de continuer à polluer la toile.


En effet, l'utilisation de serveurs piratés ou loués pose toujours le même problème (voir ActuSécu n°18). Ces derniers sont rapidement identifiés en tant que serveurs de SPAM par les organismes dédiés (Spamhause...).

Les logiciels anti-spam qui se basent également sur des listes noires peuvent alors contrer les tentatives des spammeurs.

Les pirates se sont donc concentrés sur des méthodes de contournement de
ces CAPTCHA. Les enjeux sont de taille, en réussissant à contourner
cette protection, les spammeurs peuvent automatiser des requêtes afin
d'utiliser les serveurs de messagerie de sociétés réputées (Gmail,
Microsoft, Yahoo, ...) afin que les emails ne soient pas bloqués auprès
des filtres anti-spam. En utilisant les adresses IP de serveurs de
confiance, les pirates passent ainsi à travers ces filtres (si aucune
autre règle n'a été mise en place pour refuser les emails provenant des
MX de ces sociétés).

Voilà pourquoi les spammeurs s'attaquent aux méthodes de contournement des CAPTCHA
des webmails et les forums les plus implantés. Dans la suite de cet
article, nous vous présenterons les techniques utilisées par les
attaquants.



Les CAPTCHA actuels





Onze années après son invention, les algorithmes de génération se sont
améliorés et diversifiés (avec l'apparition de captcha audio) afin de
contrer les attaques des pirates.
Le CAPTCHA visuel reste le plus utilisé, mais son efficacité varie d'un algorithme à un autre.

Certains CAPTCHA sont donc plus simples à casser que d'autres.

Les CAPTCHA actuellement utilisés ont tous été cassés avec des taux de
réussite variés. Cependant, un algorithme de décodage ne doit pas être
jugé qu'en
fonction de son pourcentage de réussite.



En effet, le temps nécessaire pour décoder est un paramètre également primordial.
Un algorithme nécessitant 5 secondes avec un taux de réussite de 10% sera, suivant la situation, préférable à
un algorithme permettant de décoder un Captcha en 1 minute avec un pourcentage de réussite de 90%.

"Les attaques des CAPTCHA se développent de plus en plus et leur
efficacité ne cesse de progresser notamment grâce au partage et à la
mise à disposition de code sources"

Le CAPTCHA de Microsoft Live Hotmail, réputé comme l'un des plus
robustes, a été récemment exploité par un malware (voir la partie dans
la suite de l'article). Deux mois auparavant, c'était GMail qui était la
cible d'attaques.

Les attaques se développent de plus en plus et leur efficacité ne cesse
d'augmenter notamment grâce au partage et à la mise à disposition de
code source. Ces attaques ne nécessitent plus d'ordinateurs puissants.
Les algorithmes développés peuvent à présent casser n'importe quel
CAPTCHA en quelques secondes.

Cependant, certains CAPTCHA ne sont pas forcément évidents, même pour l'être humain (ci-dessous 2rV2prn ou 2rV2pm).



Voici les principaux CAPTCHA utilisés actuellement :





Les différentes techniques utilisées par les pirates



Plusieurs techniques d'attaques ont été élaborées pour parvenir à contourner cette protection.

La méthode manuelle





Afin d'obtenir la chaîne de caractères correspondant au CAPTCHA,
certains groupes de pirates industrialisent le procédé. Ils emploient
des personnes décodant des CAPTCHA tout au long de la journée. L'attaque
est complètement manuelle.

De nombreuses annonces sur Internet rémunèrent ce type de travail.



Cette annonce rémunère 1$ les 1000 CAPTCHA. Les employés travaillent
environ 50 heures par semaine en fournissant une moyenne de 500 CAPTCHA
toutes les heures.
Une solution moins « onéreuse » consiste à utiliser les particuliers
pour réaliser cette tâche. Part le biais de logiciels ou de sites
internet, les utilisateurs doivent décoder un CAPTCHA afin d'accéder à
un contenu privé (photos pornographiques, inscription à des forums,
téléchargement de fichiers...).

Le CAPTCHA suivant n'est en aucun cas utilisé à des fins de sécurité,
mais uniquement pour créer des comptes email à l'insu de l'internaute.



Logiciel utilisant l"utilisateur pour décoder le CAPTCHA de Yahoo Mail





Forum utilisant les nouveaux utilisateurs pour décoder le CAPTCHA de Yahoo



Le schéma ci-dessus présente cette technique.




1) L'utilisateur souhaite accéder à un contenu pornographique ou privé
ou poster un commentaire sur un forum contrôlé par un spammeur.

2) Le site pirate envoie une requête à un serveur de messagerie afin de créer un nouveau compte.

3) Une fois la réponse du serveur de messagerie, le site pirate analyse la page reçue pour en extraire le CAPTCHA.

4) Celui-ci est envoyé au particulier. L'internaute est alors invité à décoder le CAPTCHA.

5) Ce dernier décode le CAPTCHA et envoie au site pirate la chaîne de caractères.

6) Celle-ci est transmise au serveur de messagerie.

7) Si la chaîne de caractère correspond au CAPTCHA fourni, un compte
Yahoo est créé avec succès et l'utilisateur reçoit la ressource
convoitée, sinon le processus recommence.


Cette attaque s'apparente aux attaques de type MITM (Man In The Middle).



La récupération de CAPTCHA en masse





D'autres spammeurs tentent d'autres techniques d'attaques afin de
constituer une base de connaissance de toutes les combinaisons
possibles. Ces rainbowtables (bases exhaustives contenant un CAPTCHA et
sa chaîne de caractère associée) permettent ainsi de réduire
considérablement le temps de traitement d'un CAPTCHA puisque le calcul a
été réalisé auparavant.

En comparant l'empreinte du CAPTCHA à décoder avec celles détenues en
base, le temps de réponse est de l'ordre de la milliseconde.

Récupération automatique des CAPTCHA de Yahoo :







Et les CAPTCHA audio?


Les Captcha audio, moins répandus, sont également la cible d'attaques.
La chaîne de caractères à saisir est alors épelé accompagné d'un bruit
de fond. L'utilisateur
doit donc comprendre les lettres
dictées et soumettre la chaîne de
caractères correspondante.

Dernièrement, un code PHP à été mis en circulation, décodant les captcha audio anglais des forums SMF (Simple Machine Forum).

http://securitydot.net/vuln/exploits/vulnerabilities/articles/24699/vuln.html






Des scripts sont disponibles dans l'objectif de récupérer un grand nombre de CAPTCHA afin de les traiter par la suite.

Extrait des CAPTCHA récupérés grâce au script php.



Des scripts récupérant les CAPTCHA des serveurs de messagerie les plus importants sont disponibles depuis les liens suivants :

Yahoo : http://maluc.pastebin.ca/939379
Hotmail : http://maluc.pastebin.ca/939368
Hotmail (Audio) :http://maluc.pastebin.ca/939373
Google : http://maluc.pastebin.ca/939381
Google (Audio) : http://maluc.pastebin.ca/939622



L'utilisation de la reconnaissance de caractères





La reconnaissance de caractère (OCR), inventée en 1953, permet de
déterminer le texte contenu dans un document sous forme d'image. Cette
technologie a fait d'énormes progrès ces dernières années.



Voici les différentes étapes nécessaires au décodage d'un CAPTCHA:

- Suppression du bruit et mise en noir et blanc. Les pixels parasites sont supprimés. Le fond est blanc tandis que la chaîne est en noir.



- Segmentation. L'image est découpée en plusieurs segments contenant chacun un seul caractère.



- Identification de la lettre contenue dans chaque segment.



Des algorithmes permettent ainsi d'automatiser cette tâche fastidieuse.
La plupart sont payants et se vendent entre 3000$ et 5000$.

Le site CAPTCHA Killer propose ce service gratuitement.





Ce site met à disposition une API permettant d'automatiser les actions
sans passer par le site ainsi qu'un plugin firefox (voir info).




CAPTCHA KILLER et l'extension Firefox...


Le site CAPTCHA killer propose même un plugin Firefox. Ce dernier permet
en un clic droit d'envoyer le CAPTCHA vers le serveur qui se chargera
via la méthode de reconnaissance de caractère de renvoyer à
l'utilisateur la correspondance. Lors de nos tests, le taux de réussite
s'est élevé à 80% pour le captcha de Yahoo mais le temps de traitement
était assez long (de 25 secondes à 4 minutes).










Des malwares ont également été développés afin d'automatiser la création de comptes depuis les postes infectés.



1) Un malware, installé sur un poste infecté, envoie une requête à un serveur de messagerie afin de créer un nouveau compte.

2) Le malware analyse la page reçue par le serveur et en extrait le CAPTCHA.

3) Le CAPTCHA est envoyé au serveur pirate.

4) Le serveur résout le CAPTCHA (à l'aide d'un outil de reconnaissance
de caractère ou d'une personne traitant chaque requête) et envoie le
code au malware.

5) Le malware peut alors valider l'inscription d'un compte dédié au spam enregistré avec l'IP d'un particulier.

6) Le serveur indique si le code transmis est valide.

7) En cas de succès, le malware envoie au serveur pirate les
identifiants générés (adresse email, mot de passe), sinon un nouveau
processus d'enregistrement est lancé.


De manière générale, un poste infecté crée une vingtaine de comptes, afin d'éviter de blacklister l'IP du poste compromis.



Les CAPTCHA du futur



Les modèles 3D





Comme nous l'avons vu, les CAPTCHA basés sur la reconnaissance de
caractères sont de plus en plus contournables. Les CAPTCHA audio, jugés
plus faciles à contourner et plus difficiles à implémenter (la
prononciation des lettres est différente dans chaque langue), ne peuvent
pas remplacer les systèmes actuels.

Les algorithmes se complexifient de plus en plus , jusqu'à rendre l'image ininterprétable pour un humain.
Des algorithmes ont alors développé surdes modèles en 3D.



Ceux-ci, plus efficaces que les CAPTCHA en 2D ne seront sûrement pas
implémentés. En effet, il a été démontré qu'ils étaient cassables
(rotation de l'image), mais en un temps nettement plus important avec
des ressources plus
performantes.







Reconnaissance d'images





Microsoft a rendu disponible, en version béta, le projet Asirra (Animal Species Image Recognition for Restricting Access).



Ce système, jugé plus simple et plus ludique, demande à l'utilisateur de
sélectionner toutes les photos contenant un chat parmi des photos de
chats et de
chiens. Ce nouveau système laisse à penser qu'un ordinateur ne pourra
pas différencier un chat d'un chien.
http://research.microsoft.com/asirra/

Le projet, largement inspiré de HotCAPTCHA, a été jugé plus
éthique. En effet, HotCAPTCHA propose à l'internaute de choisir 3 photos
parmi 9, celles représentant les femmes ou les hommes les plus
attrayants.




Cependant, des chercheurs développent dès à présent des algorithmes afin
de casser ces systèmes, basés sur la reconnaissance de forme et de
textures.




Textures disponibles



Forme déterminée

http://www.cs.berkeley.edu/~fowlkes/project/boundary/pb/index.html
http://www.cs.berkeley.edu/~fowlkes/project/boundary/index.html



Conclusion





Les algorithmes et les techniques de CAPTCHA actuellement utilisées sont tous faillibles. Le CAPTCHA n'a jamais été une protection, mais seulement un moyen censé empêcher les spammeurs de polluer les forums et nos boites emails.
Que peut-on faire aujourd'hui pour contrer ces pirates ?
À l'heure actuelle, la réponse n'a toujours pas été trouvée. Les futures
implémentations des CAPTCHA devront utiliser des algorithmes complexes
pour que le décodage et l'interprétation automatique soient plus coûteux
qu'un traitement humain.
Mais peut-on réellement imaginer un algorithme que seul un humain puisse résoudre ?



Webographie





- Analyse Captcha :
http://www.w3.org/2004/Talks/0319-csun-m3m/
http://sam.zoy.org/pwntcha/
http://homepages.cs.ncl.ac.uk/jeff.yan/msn_draft.pdf
http://ocr-research.org.ua/index.html

- Reconnaissance de formes et de textures :
http://www.cs.berkeley.edu/~fowlkes/project/boundary/index.html

- Reconnaissance de caractères :
http://www.lafdc.com/soft/ocr163.rar
http://www.brains-n-brawn.com/default.aspx?vDir=aicaptcha

- Analyse de malwares :
http://securitylabs.websense.com/content/Blogs/2919.aspx
http://securitylabs.websense.com/content/Blogs/3063.aspx
http://blog.wintercore.com/?p=11#more-11

ben ont est pas coucher avec tout sa mdrrrrrrr

:croire:

trop long