Des chercheurs ont créé une nouvelle intelligence artificielle qui pourrait sonner le glas de l'un des systèmes de sécurité de sites Web les plus utilisés.

Le nouvel algorithme, basé sur des méthodes d'apprentissage en profondeur, est le résolveur le plus efficace de systèmes de sécurité et d'authentification captcha à ce jour et est capable de vaincre les versions des schémas de texte captcha utilisés pour défendre la majorité des sites Web les plus populaires au monde.

Les captchas textuels utilisent un fouillis de lettres et de chiffres, ainsi que d'autres fonctions de sécurité telles que les lignes d'occlusion, faire la distinction entre les humains et les programmes informatiques automatisés malveillants. Cela repose sur le fait que les gens trouvent plus facile de déchiffrer les personnages que les machines.

Développé par des informaticiens de l'Université de Lancaster au Royaume-Uni ainsi que de l'Université du Nord-Ouest et de l'Université de Pékin en Chine, le solveur offre une précision nettement plus élevée que les systèmes d'attaque captcha précédents, et est capable de déchiffrer avec succès des versions de captcha là où les systèmes d'attaque précédents ont échoué.

Le solveur est également très efficace. Il peut résoudre un captcha en 0,05 de seconde en utilisant un PC de bureau.

Il fonctionne à l'aide d'une technique connue sous le nom de « réseau contradictoire génératif », ou GAN. Cela implique d'enseigner un programme de génération de captcha pour produire un grand nombre de captchas d'entraînement qui ne peuvent être distingués des véritables captchas. Ceux-ci sont ensuite utilisés pour former rapidement un solveur, qui est ensuite affiné et testé contre de vrais captchas.

En utilisant un générateur de captcha automatique appris par machine, les chercheurs, ou seraient des attaquants, sont capables de réduire considérablement l'effort, et le temps, nécessaires pour trouver et étiqueter manuellement les captchas pour former leur logiciel. Il ne nécessite que 500 véritables captchas, au lieu des millions qui seraient normalement nécessaires pour former efficacement un programme d'attaque.

Les solveurs de captcha précédents sont spécifiques à une variation de captcha particulière. Les systèmes d'attaque d'apprentissage automatique antérieurs demandent beaucoup de travail à construire, nécessitant beaucoup de marquage manuel des captchas pour entraîner les systèmes. Ils sont également facilement rendus obsolètes par de petits changements dans les fonctionnalités de sécurité utilisées dans les captchas.

Parce que le nouveau solveur nécessite peu d'intervention humaine, il peut facilement être reconstruit pour cibler de nouveaux, ou modifié, schémas de captcha.

Le programme a été testé sur 33 schémas captcha, dont 11 sont utilisés par de nombreux sites Web parmi les plus populaires au monde, notamment eBay, Wikipédia et Microsoft.

Dr Zheng Wang, Maître de conférences à la School of Computing and Communications de l'Université de Lancaster et co-auteur de la recherche, a déclaré :« C'est la première fois qu'une approche basée sur le GAN est utilisée pour construire des solveurs. Notre travail montre que les fonctionnalités de sécurité utilisées par les schémas captcha basés sur du texte actuels sont particulièrement vulnérables dans les méthodes d'apprentissage en profondeur.

« Nous montrons pour la première fois qu'un adversaire peut lancer rapidement une attaque contre un nouveau système de captcha basé sur du texte avec un effort très faible. C'est effrayant car cela signifie que cette première défense de sécurité de nombreux sites Web n'est plus fiable. Cela signifie captcha ouvre une énorme vulnérabilité de sécurité qui peut être exploitée par une attaque de plusieurs manières.

Monsieur Guixin Ye, l'étudiant principal auteur de l'ouvrage a déclaré :« Cela permet à un adversaire de lancer une attaque contre des services, telles que les attaques par déni de service ou les spams ou les messages de pêche, voler des données personnelles ou même falsifier l'identité des utilisateurs. Compte tenu du taux de réussite élevé de notre approche pour la plupart des schémas de captcha de texte, les sites Web devraient abandonner les captchas."

Les chercheurs pensent que les sites Web devraient envisager des mesures alternatives qui utilisent plusieurs couches de sécurité, tels que les habitudes d'utilisation d'un utilisateur, l'emplacement de l'appareil ou même des informations biométriques.

La recherche est publiée dans l'article « Yet Another Text Captcha Solver:A Generative Adversarial Network Based Approach » qui a été présenté à la conférence ACM sur la sécurité informatique et des communications (CCS) 2018 à Toronto.