Spam : CAPTCHA échaudé craint l'eau froide

par Sébastien Delahaye
publié le 17 avril 2008 à 18h08
(mis à jour le 17 avril 2008 à 18h09)

Beau temps sur le spam: les webmails proposés par Microsoft (Windows Live Mail/Hotmail), Yahoo (Yahoo Mail) et Google (Gmail) permettent désormais (à leur corps défendant) aux spammeurs de s'inscrire par milliers. Les Captcha (les systèmes de protection d'inscription qui empêchaient les programmes de spam de se créer des armées de comptes) de ces trois sites sont vulnérables depuis quelques semaines, laissant la porte grande ouverte. Les Captcha (l'acronyme de «Completely Automated Public Turing test to Tell Computers and Humans Apart» , soit «test de Turing permettant de différencier humains et robots automatiquement»), ce sont ces images montrant une demi-douzaine de caractères déformés, que l'internaute devra reproduire au clavier pour prouver qu'il est bien humain. La technique introduite en 2000, et qui présume donc l'internaute coupable --ou plutôt logiciel--, a bien fonctionné durant quelques années, avant d'être rattrapée et dépassée par les progrès des logiciels d'analyses d'images. Autre souci: les lettres sont parfois si déformées que même un humain peut avoir du mal à les reconnaître.

Depuis le début de l'année, les Captcha proposés par Yahoo, Windows Live Mail et Gmail, pourtant classés parmi les plus robustes à cause de leur complexité, ont tous été «crackés» par les spammeurs. Qui peuvent donc se créer librement des centaines ou des milliers de comptes sur ces services, et s'en servir comme base de lancement pour leurs campagnes de spamming. Pour les spammeurs, l'avantage est d'importance: un mail en provenance des serveurs de Yahoo, Microsoft ou Google aura nettement moins de chance d'être considéré comme une publicité par les divers anti-spam. En clair: il a plus de chance d'être lu que s'il était envoyé d'un serveur lambda. Pour se créer des comptes par paquets, un spammeur utilisera un petit programme automatisant le processus.

Selon l'institut Websense, qui a rapporté la nouvelle des diverses défaites des Captcha, le taux de rendement des robots spammeurs est cependant assez faible: au maximum de 20% contre le Captcha de Gmail , et entre 10 et 15% contre celui d'Hotmail . Le temps mis pour décrypter une Captcha est également assez élevé, autour de six secondes. Reste à voir comment les différentes entreprises réagiront. Une solution éventuelle pourrait être l'intégration de ReCaptcha , nouveau projet lancé l'an dernier de l'inventeur des Captcha, Luis von Ahn. Au lieu d'une seule image, ReCaptcha en affiche deux, augmentant nettement la complexité pour les robots... Qui pour l'instant n'ont pas encore besoin de s'en préoccuper. Durant le premier trimestre 2008, l'institut Sophos a relevé que 92,3% des emails envoyés étaient du spam...

A lire également sur Ecrans.fr:

_ - Dossier «Halte aux spams»

Lire les réactions à cet article.

Pour aller plus loin :

Dans la même rubrique

Les plus lus