Webyboom

A l'origine, Webyboom était le blog d'un collectif de webdesigners & webconcepteurs, parlant de créa, standards web et accessibilité. Avec le temps, le collectif s'est réduit à une personne (!), et l'on y parle toujours (et surtout) d'accessibilité du web

mercredi 6 août 2008

En finir avec les CAPTCHAs visuels?

Posté par olivier_webyboom le mercredi 6 août 2008 - Accessibilité

Tout part d'un message de Pierre Reynaud, posté sur la liste Accessibilité-numérique. Pierre n'est pas content, et on le comprend: il se retrouve confronté à un système anti-spam, MailInBlack, basé sur l'identification de l'expéditeur, via un formulaire. Ce formulaire comporte un captcha visuel, c'est-à-dire une image destinée à filtrer les logiciels d'inscription automatique (les robots spammeurs, quoi). Cette image contient des lettres déformées, censément illisibles par un système de reconnaissance de caractères, mais faciles à déchiffrer pour un humain, qui peut alors saisir le texte incrusté dans l'image. Seulement voila, Pierre est aveugle, et n'a donc pas accès au contenu du captcha. Il n'est donc pas en mesure d'écrire à son correspondant qui a utilisé ce système pour protéger sa boite mail.
Dans le but de dépanner Pierre, je l'ai orienté vers Webvisum, un outil gratuit décrit lors d'un précédent billet. Webvisum est une extension de Firefox 3 qui comprend un décrypteur de Captcha visuel. La mise en place est un peu lourde au départ, mais sur le formulaire incriminé, ça marche:

  1. D'abord il faut télécharger et installer Firefox 3 si ce n'est déjà fait

  2. Créer un compte sur Webvisum
  3. Télécharger et installer Webvisum

  4. Une fois Webvisum installé, se rendre sur la page où se trouve un captcha (la page de contact du système anti-spam sus-cité par exemple)

  5. Lancer le résolveur via le menu contextuel (option "Solve CAPTCHA", raccouci clavier: 6) ou le raccourci clavier (ctrl+alt+6, mais un conseil, changez-le, car sur un clavier français il semble que ça ne marche pas). L'image est détectée par Webvisum, qui l'expédie à un serveur, et renvoie la réponse après quelques secondes. La chaine de caractères est dans le presse-papiers, il n'y a plus qu'à la coller dans le champ adéquat

Ouf!
Sur 3 essais réalisés sur cette page, ça marche à 100% (Sébastien Delorme a eu des résultats moins flatteurs avec des captchas complexes). Il faut dire que le captcha utilisé par Mailinblack paraît bien simple... et si c'est ça la clé de voute de leur système supposé "éliminer 100% des spams", j'aurais tendance à dire qu'il y a de la présomption dans l'air. Ça ne doit pas être bien dur de forcer le barrage avec un algorithme OCR de base... et du coup ruiner le principe sur lequel repose ce service.

Ça vaudrait le coup, il me semble, que nombre de gens (dont toi, ami lecteur... si si, on peut se tutoyer maintenant!) envoient un courrier à cette société pour leur expliquer en quoi leur système est discriminant, et inefficace qui plus est. Mais j'hésite sur le fait de leur expliquer comment un outil gratuit a pu contourner leur captcha en quelques secondes. En effet, deux réactions sont possibles: soit ils y réfléchissent et utilisent un système plus efficace et moins pénalisant pour les humains; soit ils se disent qu'ils n'ont pas à se remettre en cause, puisqu'après tout les non et mal-voyants peuvent quand même se débrouiller. Évidemment la seconde attitude est suicidaire commercialement, mais que voulez-vous, même en matière de business la rationalité n'est pas le propre de l'homme...

Qu'en penses-tu, lecteur? La discussion sur la liste accessibilité-numérique a permis d'avancer quelques arguments. Globalement, le consensus qui se dégage est que si on présente la solution de contournement, il faut aussi préciser sa lourdeur pour un utilisateur bien intentionné, mais souligner sa capacité de contournement, plausible pour un hacker du dimanche, donc source d'un risque de sécurité inacceptable. Certains (Sébastien) pensent qu'il faut proposer des solutions alternatives pour être constructif, ce qui est louable, mais pas forcément l'objet de ce type de message.

L'idée n'est pas de jeter l'opprobre sur cette société en particulier, bien que l'usage de technologies-barrières soit ancré bien profond au cœur de leur produit. Mais il faut faire prendre conscience aux décideurs mal informés que ce type de service n'en est pas un, et qu'ils doivent être plus exigeants avec leurs fournisseurs, et réclamer des solutions qui prennent réellement en compte tous les paramètres. C'est vrai de MailinBlack comme de tout système basé sur des captchas et autres techniques pénalisantes. C'est pourquoi je propose qu'on mette à disposition des internautes une liste de sites ou services posant ce type de problèmes, avec l'adresse e-mail de réclamation adéquate, permettant à tout un chacun d'en sélectionner et de les contacter à ce propos. Si le mouvement est suivi, l'effet de masse devrait donner au moins à réfléchir aux éditeurs.

Des volontaires?


Commentaires

    Je me suis peut-être pas tout à fait bien expliqué. Je pense qu'il est nécessaire de proposer des solutions alternatives (quoique c'est un bien grand mot, je dirais plutôt des pistes alternatives) si l'on se présente comme professionnels du Web (comme toi ou moi).

    Effectivement si Pierre Reynaud envoie un mail, il a seulement besoin d'insister sur le fait que ce système est bloquant pour lui. Si je me présente comme expert en accessibilité et que je critique les captchas et ne suis pas capable de donner des idées d'alternatives alors là mon intervention n'est pas pertinente.

    J'espère que cette société va être touchée par ces remarques et en tiendra compte.

    Tout ça vient de me donner une idée en tout cas. Je vais préparer un gros billet sur les captchas.

    PS: Le champs "Nom ou pseudo" de ton blog limite le nombre de caractères et je ne peux pas saisir mon nom en entier :p
    PPS: Hé hé, un tag crowdsourcing.

    Posté par Sébastien D., mercredi 6 août 2008 à 16:06
  • Merci pour ces précisions, Sébastien, effectivement elles s'imposaient. Le point de vue du billet est bien celui des internautes/utilisateurs, dont le rôle serait d'alerter l'éditeur sur les problèmes posés. Et là c'est bien l'effet de masse qui est recherché.
    Maintenant, supposons qu'un modèle de message soit défini, à l'aide d'experts, et donc avec des propositions de pistes: on pourrait combiner les deux fonctions. Le risque ici est celui de copier-coller un message dont on ne maîtrise pas complètement la teneur, ce qui peut poser problème si un échange est engagé entre l'internaute et l'éditeur.

    PS: Désolé pour le problème que tu soulèves: je regarde ce qu'il en est dès que possible.

    PPS: j'attends ton billet avec impatience!

    Posté par Olivier_webyboom, mercredi 6 août 2008 à 17:09
  • Ce problème est connu. Le consortium W3C émet des reserves sur ces captchas :

    * Inaccessibility of captchas :http://www.w3.org/TR/turingtest/

    L'ASRG (Anti-Spam Research Group), groupe de travail sur l'anti-spam de l'IRTF (Internet Research Task Force) soulève plusieurs problèmes liés à l'utilisation des captchas comme méthode anti-spam.

    * Captchas - http://wiki.asrg.sp.am/wiki/Captchas

    Regarder aussi l'opinion de l'ACB (American Council of the Blind) :
    http://www.acb.org/board-minutes/bm070802.html

    Par contre, en ce qui concerne la solution proposée, elle pose le problème l'efficacité de la solution proposée par mailinblack.

    L'argument utilisé par cette entreprise est qu'un ordinateur ou procédé automatisé au service d'un spammeur ne peut pas résoudre un captcha. Or, vous avez prouvé le contraire.

    Plus un captcha est complexe, plus il est difficile à résoudre, aussi bien par un déficient visuel, mais aussi par un ordinateur. Si votre greffon arrive à casser le captcha de mailinblack, cela veut dire que la protection qu'ils proposent à leurs utilisateurs ne vaut rien, et elle pourra être utilisée par par un spammeur qui veut envoyer des messages aux clients de mailinblack.

    Donc, la question qui se pose est : faut-il vraiment accepter d'améliorer la protection contre le spam de leurs utilisateurs au prix de rendre plus difficile la vie des déficients visuels ?

    Voici des références vers deux articles scientifiques récents qui peuvent vous intéresser :

    * Yan, J. and El Ahmad, A. S. 2008. Usability of CAPTCHAs or usability issues in CAPTCHA design. In Proceedings of the 4th Symposium on Usable Privacy and Security (Pittsburgh, Pennsylvania, July 23 - 25, 200. SOUPS '08, vol. 337. ACM, New York, NY, 44-52. DOI=http://doi.acm.org/10.1145/1408664.1408671
    * Yan, J. and El Ahmad, A. S. 2008. A low-cost attack on a Microsoft captcha. In Proceedings of the 15th ACM Conference on Computer and Communications Security (Alexandria, Virginia, USA, October 27 - 31, 200. CCS '08. ACM, New York, NY, 543-554. DOI= http://doi.acm.org/10.1145/1455770.1455839

    Cordialement,

    JM

    Posté par jm, jeudi 19 novembre 2009 à 14:07
  • Déterrage

    "et si c'est ça la clé de voute de leur système supposé "éliminer 100% des spams", j'aurais tendance à dire qu'il y a de la présomption dans l'air. Ça ne doit pas être bien dur de forcer le barrage avec un algorithme OCR de base... et du coup ruiner le principe sur lequel repose ce service."

    Je dirais qu'un spammeur se sert de l'effet de masse, sur 1M de spams envoyés (via robots), il aura peut être 1% de réussite dans le meilleur des cas (j'entends pas réussite le fait que la personne ciblée tombe dans le "piège" du spam), il n'aura donc que faire des captcha renvoyés.

    De plus un spammeur pouvant prendre le temps de regarder ses emails (en admettant qu'il envoie ses spams via des adresses existantes et lui appartenant, ce qui est plus qu'improbable) et d'ouvrir son navigateur et ensuite de remplir le captcha afin de s'authentifier n'est pour moi pas un spammeur dangereux voire pas un spammeur du tout...

    On ajoute à cela le fait que le spammeur envoie ses spams dans 99% des cas par robots + le fait qu'il spoofe des adresses mails (existantes ou inexistantes) alors que MailInBlack implémente un système RBL et rDNS et que s'il passe la barrière de ces deux contrôles, une demande d'authentification sera renvoyée vers l'adresse émettrice ... Donc le système est plus que fiable.

    Pour ce qui est de l'accessibilité aux déficients visuel, une personne pouvant envoyer un mail, naviguer sur internet ainsi que lire ses mails dispose donc de moyens suffisants pour pouvoir effectuer la démarche d'avoir des outils d'accessibilité sur son ordinateur.

    Il est vrai que ces personnes, malheureusement, font partie d'une très large minorité, de ce fait il est normal qu'il faille s'adapter au monde "valide" avec des outils faits pour.
    C'est comme si, en allant dans un pays étranger, vous demandiez à ce que tout le monde autour s'adapte à votre langage, ceci n'est pas possible, vous devrez alors user d'outils tels que dictionnaires et autre manuels afin de pouvoir vous adapter au monde environnant.

    Posté par midiennemi, mardi 9 mars 2010 à 20:44
  • Re: Déterrage

    Ce qui est dérangeant ici, c'est que le message marketing affirme deux choses qui ne peuvent pas être vraies: l'efficacité garantie à 100%, et l'absence de faux-positifs.

    100%, c'est pas 99.9%, ça veut dire: 0 spam. Si en pratique on n'en sera peut-être pas loin, en théorie ça ne peut pas être garanti, puisqu'un captcha visuel est toujours forçable (par algorithme ou par... un humain!). Et en l'occurrence le niveau de difficulté a l'air relativement modeste puisque Webvisum le résout plutôt bien.
    Et si un spyware sur le poste de l'expéditeur (authentifié par ailleurs) s'amuse à envoyer des mails à son insu, sauf si j'ai rien compris, ils passeront la barrière. Ok, la possibilité est infime, mais elle existe.

    L'autre affirmation qui me semble péremptoire, est celle de 0 faux-positif. Pour moi, bloquer un utilisateur non-voyant, c'est assimilable à un faux-positif: il était légitime, pourtant il ne pourra pas envoyer de mail.

    Enfin, il est toujours risqué (et généralement erroné) de pré-supposer que la compétence de l'utilisateur pour une activité donnée lui donne automatiquement celle d'en exercer une autre. Des personnes de mon entourage (seniors, débutants) naviguent et e-mailent quotidiennement, mais n'auraient pas l'idée d'équiper leur système avec un OCR, tout simplement parce qu'ils ignorent que ça existe ou que c'est possible. Déjà les notions de web, de navigateur, de messagerie, voire de système d'exploitation sont plus que flous... Et il n'y a pas plus de "power users" chez les déficients visuels que chez les valides.

    Mais bon, on discute peut-être d'un problème périmé: sur le site de MailInBlack, la dernière news a plus d'un an...

    Posté par Olivier (Webyboo, jeudi 11 mars 2010 à 13:56

Poster un commentaire