CAPTCHA sont brisés

0
5

Arrêtez. Repensez à la dernière fois que vous avez essayé de vous connecter à un site Web.

Avez-vous coché cette case ? Celui qui dit Je ne suis pas un robot ? Avez-vous réellement eu l’impression d’être un robot lorsque vous avez cliqué dessus ?

Peut-être que vous n’avez pas eu besoin de cliquer sur quoi que ce soit. Peut-être que le code a simplement examiné la gigue de votre souris, votre historique IP, vos cookies et vous a laissé entrer parce qu’il a deviné que vous étiez réel. Mais parfois la grille apparaît. Carrés granuleux. Feux de signalisation. Passages pour piétons. Motos.

Identifiez-les. Faites-le maintenant. Soit vous êtes banni.

CAPTCHA signifie Test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains. Une bouchée. Le nom implique une simple promesse. Ces tâches sont faciles pour les humains. Difficile pour les robots. Le spam s’arrête donc. Les rachats de comptes s’arrêtent. Le site reste sécurisé.

Cela a fonctionné une fois. À la fin des années 90. À l’époque où la lecture de texte déformé était un casse-tête que les machines ne pouvaient pas résoudre.

Andreas Plesner de l’ETH Zurich l’a qualifié de problème simple enveloppé dans une enveloppe difficile. Si je ne peux pas te toucher. Si je n’ai aucune interaction physique avec l’autre partie. Est-ce une personne ? Ou du code ?

Les premières versions reposaient sur des mots déformés. Les logiciels de reconnaissance de texte étaient alors maladroits. Il a trébuché à cause de la courbure et du bruit. Nous avons donc ajouté plus de courbure. Nous avons aggravé la situation.

Ensuite, Google a acheté la technologie. Vers 2009 environ. Le test a changé. Du texte aux images. reCAPTCHA a supprimé les vignettes Street View. Identifiez les panneaux d’arrêt. Identifiez les vélos.

Ng Chong, qui dirige l’informatique à l’Université des Nations Unies à Tokyo, l’a dit clairement.

“Le pari était que reconnaître des objets dans des photos désordonnées du monde réel était une compétence humaine unique”

C’était un bon pari. À l’époque. Les humains sont doués pour repérer les choses dans le bruit. Les robots ne l’étaient pas.

Mais ensuite est arrivé reCAPTCHA v2. L’ère des cases à cocher. Une couche d’analyse comportementale se trouve sous le puzzle de l’image. Il surveille la façon dont vous bougez. La vitesse. Le temps de survol. La vitesse du clic. Il juge votre humanité avant de vous demander de repérer un feu tricolore. Si vous avez l’air suspect. La grille apparaît.

Le soupçon est subjectif. Alors ils l’ont automatisé.

Puis l’IA s’est réveillée.

Les modèles d’apprentissage profond à faible coût ont franchi la barrière du taux de réussite de 70 % en 2016, il y a à peine six ans. Un ordinateur portable pourrait faire ce qu’un humain pourrait faire.

D’ici 2024, l’équipe de Plesner a construit un modèle d’IA. Il a résolu correctement les énigmes reCAPTCHA. À chaque fois. Précision à cent pour cent.

Et Chong ? Il a construit un outil début 2026 qui imitait si bien les modèles de navigation humaine qu’il contournait entièrement la grille d’images. Parfois, la case restait vide. Aucun casse-tête n’est nécessaire. Juste un faux comportement. Lorsque la grille est apparue, son IA l’a effacée en quelques essais.

Et maintenant ?

Lorsque la couche comportementale et le puzzle d’images échouent. Quand un ordinateur portable de base sur votre bureau brise le code. La prémisse s’évapore. L’hypothèse selon laquelle les humains peuvent faire ce que les machines ne peuvent pas faire n’est plus vraie.

Sont-ils alors obsolètes ?

Pas tout à fait.

Plesner a noté une faille. Le modèle a réussi le puzzle. Cela n’a pas battu les défenses du backend. Son équipe a dû utiliser des VPN. Changer les adresses IP à chaque test. Parce qu’une adresse IP frappant un moteur CAPTCHA déclenche à plusieurs reprises des blocs de difficulté plus élevée. Interdictions totales.

Le jeu moderne n’est plus une question d’image. Il s’agit des ombres. Les métadonnées.

reCAPTCHA v3 CAPTCHA convivial hCAPTCHA Tourniquet Cloudflare. Ils ne posent pas de questions. Ils regardent juste. Exécutez-vous à partir d’un appareil certifié ? Un véritable morceau de matériel. Ou un script sans tête ? Votre IP a-t-elle déjà martelé le serveur ? Quel est votre historique de cookies ?

Il s’agit d’un audit silencieux. Aucune friction de l’utilisateur. Si vous marquez bien. Vous entrez.

Mais les grilles demeurent.

Ils sont bon marché. Facile à déployer. Un héritage de plusieurs décennies. Le statu quo persiste parce que changer les choses est difficile. Chong dit que cela reste rentable pour beaucoup.

Il y a un inconvénient. A part les robots.

Les humains les détestent. Et pas seulement parce qu’il est ennuyeux de repérer les passages pour piétons. C’est exclusif. Les personnes malvoyantes ont du mal à réaliser des tests basés sur des images. Cela crée des barrières là où il ne devrait pas en exister.

Un chercheur l’a souligné en 2022. Nous avons construit un gardien qui blesse les personnes qu’il tente de protéger.

Neal Agarwal a fait la satire de cette frustration avec un jeu gratuit. “Je ne suis pas un robot.” Cela parodie l’escalade. Première étape. Simple. Dixième étape. Absurde. Vous gagnez des points en échouant à la logique. En résolvant des énigmes qui nécessitent plus de mathématiques de niveau doctorat que n’en requiert la sécurité Web.

Si le CAPTCHA exige la réussite d’une thèse de doctorat. Qui utilise Internet ?

Nous ne voulons pas que le Web soit exclusif. Nous ne voulons pas prouver notre appartenance à une espèce tous les mardis à 16 heures.

La solution ne réside donc pas dans des énigmes plus difficiles.

Peut-être que la solution est de lâcher prise. Ou créer un autre type de test. Celui qui ne vous oblige pas à prouver que vous n’êtes pas une machine. Celui qui suppose que vous êtes réel. Sauf preuve du contraire.

Les machines rattrapent leur retard. Rapide. Les tortues et les faucons se confondent dans le carré granuleux.

Pouvez-vous les distinguer ?