Webyboom

Webyboom est un collectif de webdesigners & webconcepteurs, notre blog est destiné à tous ceux qui sont confrontés comme nous, aux créations et refontes de sites web, avec pour enjeux, le respect des standards et des recommandations sur l'Accessibilité

mercredi 6 août 2008

En finir avec les CAPTCHAs visuels?

Posté par olivier_webyboom le mercredi 6 août 2008 - Accessibilité

Tout part d'un message de Pierre Reynaud, posté sur la liste Accessibilité-numérique. Pierre n'est pas content, et on le comprend: il se retrouve confronté à un système anti-spam, MailInBlack, basé sur l'identification de l'expéditeur, via un formulaire. Ce formulaire comporte un captcha visuel, c'est-à-dire une image destinée à filtrer les logiciels d'inscription automatique (les robots spammeurs, quoi). Cette image contient des lettres déformées, censément illisibles par un système de reconnaissance de caractères, mais faciles à déchiffrer pour un humain, qui peut alors saisir le texte incrusté dans l'image. Seulement voila, Pierre est aveugle, et n'a donc pas accès au contenu du captcha. Il n'est donc pas en mesure d'écrire à son correspondant qui a utilisé ce système pour protéger sa boite mail.
Dans le but de dépanner Pierre, je l'ai orienté vers Webvisum, un outil gratuit décrit lors d'un précédent billet. Webvisum est une extension de Firefox 3 qui comprend un décrypteur de Captcha visuel. La mise en place est un peu lourde au départ, mais sur le formulaire incriminé, ça marche:

  1. D'abord il faut télécharger et installer Firefox 3 si ce n'est déjà fait

  2. Créer un compte sur Webvisum

  3. Télécharger et installer Webvisum

  4. Une fois Webvisum installé, se rendre sur la page où se trouve un captcha (la page de contact du système anti-spam sus-cité par exemple)

  5. Lancer le résolveur via le menu contextuel (option "Solve CAPTCHA", raccouci clavier: 6) ou le raccourci clavier (ctrl+alt+6, mais un conseil, changez-le, car sur un clavier français il semble que ça ne marche pas). L'image est détectée par Webvisum, qui l'expédie à un serveur, et renvoie la réponse après quelques secondes. La chaine de caractères est dans le presse-papiers, il n'y a plus qu'à la coller dans le champ adéquat

Ouf!
Sur 3 essais réalisés sur cette page, ça marche à 100% (Sébastien Delorme a eu des résultats moins flatteurs avec des captchas complexes). Il faut dire que le captcha utilisé par Mailinblack paraît bien simple... et si c'est ça la clé de voute de leur système supposé "éliminer 100% des spams", j'aurais tendance à dire qu'il y a de la présomption dans l'air. Ça ne doit pas être bien dur de forcer le barrage avec un algorithme OCR de base... et du coup ruiner le principe sur lequel repose ce service.

Ça vaudrait le coup, il me semble, que nombre de gens (dont toi, ami lecteur... si si, on peut se tutoyer maintenant!) envoient un courrier à cette société pour leur expliquer en quoi leur système est discriminant, et inefficace qui plus est. Mais j'hésite sur le fait de leur expliquer comment un outil gratuit a pu contourner leur captcha en quelques secondes. En effet, deux réactions sont possibles: soit ils y réfléchissent et utilisent un système plus efficace et moins pénalisant pour les humains; soit ils se disent qu'ils n'ont pas à se remettre en cause, puisqu'après tout les non et mal-voyants peuvent quand même se débrouiller. Évidemment la seconde attitude est suicidaire commercialement, mais que voulez-vous, même en matière de business la rationalité n'est pas le propre de l'homme...

Qu'en penses-tu, lecteur? La discussion sur la liste accessibilité-numérique a permis d'avancer quelques arguments. Globalement, le consensus qui se dégage est que si on présente la solution de contournement, il faut aussi préciser sa lourdeur pour un utilisateur bien intentionné, mais souligner sa capacité de contournement, plausible pour un hacker du dimanche, donc source d'un risque de sécurité inacceptable. Certains (Sébastien) pensent qu'il faut proposer des solutions alternatives pour être constructif, ce qui est louable, mais pas forcément l'objet de ce type de message.

L'idée n'est pas de jeter l'opprobre sur cette société en particulier, bien que l'usage de technologies-barrières soit ancré bien profond au cœur de leur produit. Mais il faut faire prendre conscience aux décideurs mal informés que ce type de service n'en est pas un, et qu'ils doivent être plus exigeants avec leurs fournisseurs, et réclamer des solutions qui prennent réellement en compte tous les paramètres. C'est vrai de MailinBlack comme de tout système basé sur des captchas et autres techniques pénalisantes. C'est pourquoi je propose qu'on mette à disposition des internautes une liste de sites ou services posant ce type de problèmes, avec l'adresse e-mail de réclamation adéquate, permettant à tout un chacun d'en sélectionner et de les contacter à ce propos. Si le mouvement est suivi, l'effet de masse devrait donner au moins à réfléchir aux éditeurs.

Des volontaires?

Commentaires [2] - Rétroliens [0] - Permalien [#]
Tags : , , ,

Commentaires

Je me suis peut-être pas tout à fait bien expliqué. Je pense qu'il est nécessaire de proposer des solutions alternatives (quoique c'est un bien grand mot, je dirais plutôt des pistes alternatives) si l'on se présente comme professionnels du Web (comme toi ou moi).

Effectivement si Pierre Reynaud envoie un mail, il a seulement besoin d'insister sur le fait que ce système est bloquant pour lui. Si je me présente comme expert en accessibilité et que je critique les captchas et ne suis pas capable de donner des idées d'alternatives alors là mon intervention n'est pas pertinente.

J'espère que cette société va être touchée par ces remarques et en tiendra compte.

Tout ça vient de me donner une idée en tout cas. Je vais préparer un gros billet sur les captchas.

PS: Le champs "Nom ou pseudo" de ton blog limite le nombre de caractères et je ne peux pas saisir mon nom en entier :p
PPS: Hé hé, un tag crowdsourcing.

Posté par Sébastien D., mercredi 6 août 2008 à 16:06

Merci pour ces précisions, Sébastien, effectivement elles s'imposaient. Le point de vue du billet est bien celui des internautes/utilisateurs, dont le rôle serait d'alerter l'éditeur sur les problèmes posés. Et là c'est bien l'effet de masse qui est recherché.
Maintenant, supposons qu'un modèle de message soit défini, à l'aide d'experts, et donc avec des propositions de pistes: on pourrait combiner les deux fonctions. Le risque ici est celui de copier-coller un message dont on ne maîtrise pas complètement la teneur, ce qui peut poser problème si un échange est engagé entre l'internaute et l'éditeur.

PS: Désolé pour le problème que tu soulèves: je regarde ce qu'il en est dès que possible.

PPS: j'attends ton billet avec impatience!

Posté par Olivier_webyboom, mercredi 6 août 2008 à 17:09

Poster un commentaire







Rétroliens

URL pour faire un rétrolien vers ce message :
http://www.canalblog.com/cf/fe/tb/?bid=349503&pid=10153140

Liens vers des weblogs qui référencent ce message :