En finir avec les CAPTCHAs visuels?
Tout part d'un message de Pierre Reynaud, posté sur la liste Accessibilité-numérique. Pierre n'est pas content, et on le comprend: il se retrouve confronté à un système anti-spam, MailInBlack, basé sur l'identification de l'expéditeur, via un formulaire. Ce formulaire comporte un captcha visuel, c'est-à-dire une image destinée à filtrer les logiciels d'inscription automatique (les robots spammeurs, quoi). Cette image contient des lettres déformées, censément illisibles par un système de reconnaissance de caractères, mais faciles à déchiffrer pour un humain, qui peut alors saisir le texte incrusté dans l'image. Seulement voila, Pierre est aveugle, et n'a donc pas accès au contenu du captcha. Il n'est donc pas en mesure d'écrire à son correspondant qui a utilisé ce système pour protéger sa boite mail.
Dans le but de dépanner Pierre, je l'ai orienté vers Webvisum, un outil gratuit décrit lors d'un précédent billet. Webvisum est une extension de Firefox 3 qui comprend un décrypteur de Captcha visuel. La mise en place est un peu lourde au départ, mais sur le formulaire incriminé, ça marche:
-
D'abord il faut télécharger et installer Firefox 3 si ce n'est déjà fait
- Créer un compte sur Webvisum
Une fois Webvisum installé, se rendre sur la page où se trouve un captcha (la page de contact du système anti-spam sus-cité par exemple)
Lancer le résolveur via le menu contextuel (option "Solve CAPTCHA", raccouci clavier: 6) ou le raccourci clavier (ctrl+alt+6, mais un conseil, changez-le, car sur un clavier français il semble que ça ne marche pas). L'image est détectée par Webvisum, qui l'expédie à un serveur, et renvoie la réponse après quelques secondes. La chaine de caractères est dans le presse-papiers, il n'y a plus qu'à la coller dans le champ adéquat
Ouf!
Sur 3 essais réalisés sur cette page, ça marche à 100% (Sébastien Delorme a eu des résultats moins flatteurs avec des captchas complexes). Il faut dire que le captcha utilisé par Mailinblack paraît bien simple... et si c'est ça la clé de voute de leur système supposé "éliminer 100% des spams", j'aurais tendance à dire qu'il y a de la présomption dans l'air. Ça ne doit pas être bien dur de forcer le barrage avec un algorithme OCR de base... et du coup ruiner le principe sur lequel repose ce service.
Ça vaudrait le coup, il me semble, que nombre de gens (dont toi, ami lecteur... si si, on peut se tutoyer maintenant!) envoient un courrier à cette société pour leur expliquer en quoi leur système est discriminant, et inefficace qui plus est. Mais j'hésite sur le fait de leur expliquer comment un outil gratuit a pu contourner leur captcha en quelques secondes. En effet, deux réactions sont possibles: soit ils y réfléchissent et utilisent un système plus efficace et moins pénalisant pour les humains; soit ils se disent qu'ils n'ont pas à se remettre en cause, puisqu'après tout les non et mal-voyants peuvent quand même se débrouiller. Évidemment la seconde attitude est suicidaire commercialement, mais que voulez-vous, même en matière de business la rationalité n'est pas le propre de l'homme...
Qu'en penses-tu, lecteur? La discussion sur la liste accessibilité-numérique a permis d'avancer quelques arguments. Globalement, le consensus qui se dégage est que si on présente la solution de contournement, il faut aussi préciser sa lourdeur pour un utilisateur bien intentionné, mais souligner sa capacité de contournement, plausible pour un hacker du dimanche, donc source d'un risque de sécurité inacceptable. Certains (Sébastien) pensent qu'il faut proposer des solutions alternatives pour être constructif, ce qui est louable, mais pas forcément l'objet de ce type de message.
L'idée n'est pas de jeter l'opprobre sur cette société en particulier, bien que l'usage de technologies-barrières soit ancré bien profond au cœur de leur produit. Mais il faut faire prendre conscience aux décideurs mal informés que ce type de service n'en est pas un, et qu'ils doivent être plus exigeants avec leurs fournisseurs, et réclamer des solutions qui prennent réellement en compte tous les paramètres. C'est vrai de MailinBlack comme de tout système basé sur des captchas et autres techniques pénalisantes. C'est pourquoi je propose qu'on mette à disposition des internautes une liste de sites ou services posant ce type de problèmes, avec l'adresse e-mail de réclamation adéquate, permettant à tout un chacun d'en sélectionner et de les contacter à ce propos. Si le mouvement est suivi, l'effet de masse devrait donner au moins à réfléchir aux éditeurs.
Des volontaires?