Aurélien Morillon - Consultant Formateur professionnel webMarketing

Captcha : Une mesure de sécurité inefficace et contreproductive

-

Le 23 janvier 2012 - Mots-clés : , , , , ,

Les webmasters sont confrontés tôt ou tard à un problème devenus récurrents : Les spambot. Ceux-ci parcourent le web à la recherche de formulaire à remplir dans un double objectif : Créer des liens ou envoyer des emails en profitant d’une faille appelée « injection d’entête ».

Les spambots peuvent devenir une véritable plaie quand on gère un site avec plusieurs dizaines de formulaires : Il faut trier et supprimer les faux, ce qui prend du temps.

Finalement, on décide de s’armer pour empêcher les spambots de passer et la première idée, c’est le CAPTCHA.

Un CAPTCHA c’est quoi ?

Là vous savez que vous avez trop corsé vos captcha

Un captcha est une image contenant une suite de caractères à recopier dans une petite boite. Seulement voila : Certains spambots sont entrainés pour passer les systèmes de captcha les plus courants. Par exemple, un résoudre automatiquement captcha généré par un script FreeGlobe, phpmyannu ainsi que certains modules phpBB ou wordpress ne posera aucune difficulté.

 

Ainsi, même si l’ajout d’un captcha peut vous permettre de souffler quelques temps, ils reviendront tôt ou tard, mieux armés pour vos contre mesures. Vous augmenterez le degré de déformation des caractères et ajouter tellement de motifs en arrière plan pour tromper les OCR que finalement, même vos visiteurs humains ne pourront plus lire et décrypter vos Captcha.

Enfin, pour enfoncer le clou, il existe des services tels que decaptcher, qui promettent de résoudre captcha pour quelques euros, par l’intermédiaire d’une API. L’expérience montre que ça marche plutôt pas mal avec des taux de réussite allant de 20 à 100% selon les systèmes attaqués. Dans un article précédent, j’ai déjà démontré qu’on pouvait même utiliser les internautes pour décrypter les captcha … sans qu’ils s’en rendent compte.

Serveurs proxy et mise en cache : Des tueurs de captcha

Si votre serveur web commence à ramer dans la choucroute, vous pourriez avoir la bonne idée de mettre en place un système de cache, voir de monter un serveur proxy qui viendrait se placer devant votre serveur apache pour le soulager. Si vous n’avez pas pensé à gérer un no-cache sur l’image du captcha, vous pourriez tout simplement empêcher quiconque de remplir vos formulaires : La première image générée risque bien d’être mise en cache et ô malheur : C’est elle qui s’affichera en lieu et place de tous les autres captcha rencontrés sur le site.

Inversement, bon nombre d’écoles, administrations et entreprises utilisent un proxy pour économiser la bande passante (50 personnes sur une livebox, bonjour les dégâts!). Si le proxy a été configuré avec les pieds, il est fort probable que les internautes passant par ces bécanes ne puissent presque jamais passer vos captcha…

Pourquoi alors rencontre-t-on autant de captcha ?

N’est ce pas une bonne question ?  Pourquoi continue-t-on à utiliser des captcha sur nos jolis sites oueb, alors qu’on a des visiteurs qui se plaignent de ne pas réussir à les résoudre et que des spambot arrivent quand même à passer ?

 

Réagissez ! Laissez message :

  • Adam
    15 h 00 le 24 janvier 2012 1

    Le catpcha n’est pas invincible certes mais à défaut d’autre système c’est quand même un premier filtre bien utile non ? :)

 

RSS des commentaires

Powered by "To Do List Member"