Mes faux pas me collent à la peau. Alors pourquoi lorsque je renseigne un captcha, il m’arrive régulièrement d’échouer au test ? Pourtant tout montre mon humanité : les mouvements erratiques de la souris, le temps très lent de ma réponse, … Un robot, ou bot pour les intimes, ne ferait pas ces erreurs.
Au contraire, ces derniers remplissent les champs avec une agilité extrême. Ils permettent d’automatiser les tâches et faire en sorte qu’elles soient réalisées le plus efficacement possible. Et c’est en cela qu’ils gênent. Face à leurs concurrents humains, ils gagnent à tous les coups, et donc leurs créateurs.
Prenons l’exemple des jeux vidéo. Pour progresser dans l’aventure, il faut répéter des tâches. L’orgueil est un modèle économique puissant. Être classé devant ses amis peut nécessiter d’acheter des bonus. Pour l’informaticien, une autre stratégie est de développer un bot qui répétera ad nauseam ces tâches.
Un autre exemple est l’envoi de SMS. À la fin des années 90, les messages étaient chers. Sous contraintes de regarder des publicités, certains sites proposaient d’envoyer des SMS gratuits. Services limités à une adresse mail et un nombre restreint de messages.Autre solution, écrire un bot pour automatiser l’opération et éviter les pubs.
En fait, tout site qui propose une période d’essai n’a pas envie de voir des utilisateurs multiplier les faux comptes pour profiter gratuitement du service. Et un bot, une fois écrit, peut être utilisé par n’importe qui.
Les fournisseurs de services se sont donc adaptés pour ne pas être exploités par des développeurs plus malins. C’est ainsi que sont apparus les captchas. L’idée était de proposer des exercices simples pour un humain et difficiles pour un ordinateur. La reconnaissance de caractère est le cas le plus simple.
Prenez un mot. Bien ou mal écrit, rayé, raturé, un humain saura le lire, sauf s’il s’agit d’une ordonnance. Un logiciel de reconnaissance de caractères sera perdu. Pour prouver notre humanité, lisons des mots mal écrits. La stratégie marchait peut-être au début des années 2000. Mais les concepteurs de bots ont su s’adapter.
Ainsi, les développeurs se sont mis au défi de battre ces systèmes de sécurité. Alors les stratégies se sont affinées. Au lieu de mots, nous avons des images. La reconnaissance d’images étant plus coûteuse, difficile d’occuper un réseau de neurones pour tromper un système de sécurité.
Désormais on a un put… de tableau quadrillé où l’on doit identifier certains éléments. Le bout de feu rouge de 1 pixel d’épaisseur dans le carré fait-il partie ou non de la réponse ? Et pourquoi un programme me demande de prouver mon humanité ? Il voit bien que je galère avec sa question stupide. C’est quoi ce Turing inversé ?
Il n’a pas assez d’éléments pour savoir que je ne suis pas un bot : mon temps de réaction, mon adresse IP, les cookies qu’il veut absolument que j’accepte, … Vous me direz que de bons développeurs sont capables de reproduire ces comportements. Mais, comme ils savent déjouer les captchas.
Un bon service ne devrait pas avoir besoin de captchas pour repérer les intrus. Si sur un site de rencontre l’utilisateur commence à consulter 20 fiches en une demi-seconde, il suffit de ralentir les réponses. Si pour un service de Cloud, 100 fichiers répartis sur 100 comptes différents proviennent de la même machine, alors c’est quelqu’un ne respecte pas les conditions d’utilisations.
Le captcha est une mauvaise réponse aux problèmes de sécurité. Mais on la laisse parce qu’elle est facile à implémenter. Et moi, je passe pour un robot …