Un chercheur casse Google CAPTCHA en utilisant l'IA de la parole au texte

La bataille entre les bots et les services cloud vient de prendre une autre tournure alors qu’un chercheur a cassé la technologie CAPTCHA de Google en utilisant l’intelligence artificielle (IA) – encore une fois.CAPTCHA signifie Test de Turing public complètement automatisé pour dire Computers and Humans Apart. Il utilise des énigmes que seuls les humains peuvent résoudre pour empêcher les robots automatisés de se connecter à des comptes ou de s’enregistrer pour de nouveaux.

Le problème est que l’IA permet aux ordinateurs d’exécuter des tâches plus humaines, et les chercheurs en sécurité ont utilisé à plusieurs reprises ce fait pour aider les ordinateurs à résoudre les CAPTCHA.Maintenant, le chercheur Nikolai Tschacher affirme avoir résolu la deuxième version de l’implémentation CAPTCHA de Google, connue sous le nom de reCAPTCHA. Par défaut, ce système présente un puzzle visuel, demandant aux utilisateurs de sélectionner les parties d’une image contenant un certain objet.

Cependant, il existe une option audio pour les utilisateurs malvoyants qui leur permet de taper les mots qu’ils entendent. « L’idée de l’attaque est très simple », explique Tschacher sur son blog. « Vous récupérez le fichier mp3 du reCAPTCHA audio et vous le soumettez à l’API Speech to Text de Google.

 » Le message comprend une démonstration vidéo de l’attaque, qui montre que l’ordinateur « écoute » un extrait audio des mots « disques les plus rapides actuellement « de reCAPTCHA et les soumettant automatiquement à l’API Speech to Text. L’API renvoie le texte correct et l’ordinateur le saisit automatiquement dans le reCAPTCHA.Google a mis à jour sa technologie à plusieurs reprises au fil des ans pour garder une longueur d’avance sur des chercheurs comme Tschacher.

Une équipe de l’Université du Maryland a cassé le système du géant de la recherche en utilisant la même technique en 2017. Ils ont publié le code de leur technique, appelé unCAPTCHA, et Google a mis à jour reCAPTCHA pour échapper à leur algorithme.La mise à jour a contrecarré unCAPTCHA, mais la technique de Tschacher modifie le même code pour le faire fonctionner à nouveau avec un taux de réussite de 97%.

D’autres chercheurs ont publié des recherches anti-CAPTCHA, y compris une équipe qui a dévoilé une attaque contre le système de Google à Black Hat Asia en 2016. La société d’IA basée en Californie Vicarious a également créé un logiciel qui a cassé les CAPTCHA via le traitement visuel en 2017. le jeu du chat et de la souris entre les techniques CAPTCHA et les attaquants, qui semble emprunter deux voies distinctes.

L’un d’eux consiste à analyser passivement le comportement des utilisateurs, y compris des éléments tels que leur cadence de frappe, les zones des sites qu’ils visitent dans quel ordre et leur activité à la souris ou au toucher. Google a déjà mis en œuvre une analyse comportementale dans la troisième version de son système de détection de bots qui examine comment les humains interagissent avec un site Web pour détecter les bots. Il utilise une base de trafic réel vers des sites Web individuels pour déterminer ce qui est normal, ce qui lui permet de repérer une activité inhabituelle.

L’autre option consiste à rendre les tests plus difficiles à l’aide de jeux ou d’autres tests plus difficiles à résoudre pour les utilisateurs. Cependant, pour être inclusifs, ces tests devraient être accessibles aux utilisateurs malvoyants.Threatpost rapporte que la révision unCAPTCHA de Tschacher fonctionne même sur reCAPTCHA version 3.

Dans une interview avec la publication, Tschacher a averti que la technique pourrait être difficile à mettre à l’échelle grâce à Google. utilisation de la limitation de débit pour empêcher les robots de marteler ses systèmes avec trop de requêtes. La société empreinte également les agents logiciels accédant à son système.

Ressources en vedetteAvantages de sécurité du RAN virtualisé ouvertComment l’infrastructure du réseau d’accès radio renforce et simplifie votre stratégie de sécuritéTélécharger maintenantLes ordinateurs de bureau sont-ils condamnés ? Tendances des espaces de travail numériques