Les chercheurs ont créé une nouvelle intelligence artificielle qui pourrait mettre fin à l’un des systèmes de sécurité de sites Web les plus utilisés.

Le nouvel algorithme, basé sur des méthodes d’apprentissage approfondi, est le plus efficace à ce jour pour résoudre les problèmes de sécurité et d’authentification des captcha et est capable de vaincre les versions des systèmes de capture de texte utilisés pour défendre la majorité des sites Web les plus populaires du monde.

Les captures textuelles utilisent un enchevêtrement de lettres et de chiffres, ainsi que d’autres dispositifs de sécurité tels que des lignes occlusives, pour distinguer les humains des programmes informatiques automatisés malveillants. Elle repose sur le fait que les gens trouvent qu’il est plus facile de déchiffrer les caractères que les machines.

Développé par des informaticiens de l’Université de Lancaster au Royaume-Uni ainsi que de l’Université Northwest et de l’Université de Pékin en Chine, le solveur offre une précision nettement supérieure à celle des systèmes d’attaque captcha précédents, et est capable de casser avec succès des versions de captcha là où les systèmes d’attaque précédents ont échoué.

Le solveur est également très efficace. Il peut résoudre un captcha en moins de 0,05 seconde en utilisant un PC de bureau.

Il fonctionne à l’aide d’une technique connue sous le nom de ” Réseau d’Adversaire Génératif “, ou GAN (Generative Adversarial Network). Il s’agit d’enseigner un programme de générateur de captcha pour produire un grand nombre de caSécurité informatiqueptchas d’entraînement qu’il est impossible de distinguer des véritables captchas. Ceux-ci sont ensuite utilisés pour former rapidement un solveur, qui est ensuite affiné et testé contre de véritables captchas.

En utilisant un générateur automatique de captcha appris par machine, les chercheurs, ou qui seraient des attaquants, sont en mesure de réduire considérablement l’effort et le temps nécessaires pour trouver et marquer manuellement les captchas afin de former leur logiciel. Il ne nécessite que 500 captures authentiques, au lieu des millions qui seraient normalement nécessaires pour entraîner efficacement un programme d’attaque.

Les solveurs de captcha précédents sont spécifiques à une variation de captcha particulière. La construction de systèmes d’attaque par apprentissage machine préalable exige beaucoup de main-d’œuvre, ce qui exige beaucoup d’étiquetage manuel des captures pour entraîner les systèmes. Ils sont également facilement rendus obsolètes par de petites modifications des dispositifs de sécurité utilisés dans les captchas.

Comme le nouveau solveur nécessite peu d’intervention humaine, il peut facilement être reconstruit pour cibler de nouveaux schémas captcha ou des schémas modifiés.

Le programme a été testé sur 33 schémas captcha, dont 11 sont utilisés par de nombreux sites Web parmi les plus populaires au monde, dont eBay, Wikipedia et Microsoft.

Le Dr Zheng Wang, maître de conférences à l’école d’informatique et de communication de l’Université de Lancaster et co-auteur de cette recherche, a déclaré : “C’est la première fois qu’une approche basée sur le GAN est utilisée pour construire des solveurs. Nos travaux montrent que les dispositifs de sécurité utilisés par les systèmes de captcha textuels actuels sont particulièrement vulnérables dans le cadre des méthodes d’apprentissage en profondeur.

“Nous montrons pour la première fois qu’un adversaire peut rapidement lancer une attaque sur un nouveau système de captcha textuel avec un très faible effort. C’est effrayant parce que cela signifie que cette première défense de sécurité de nombreux sites Web n’est plus fiable. Cela signifie que captcha ouvre une énorme vulnérabilité de sécurité qui peut être exploitée par une attaque de plusieurs façons.

M. Guixin Ye, l’étudiant principal auteur de l’ouvrage a dit : “Il permet à un adversaire de lancer une attaque contre des services, comme des attaques par déni de service ou de dépenser du spam ou des messages de pêche, pour voler des données personnelles ou même forger des identités d’utilisateurs. Etant donné le taux de succès élevé de notre approche pour la plupart des schémas de captcha texte, les sites web devraient abandonner les captchas.”

Les chercheurs croient que les sites Web devraient envisager des mesures de rechange qui utilisent plusieurs niveaux de sécurité, comme les habitudes d’utilisation de l’utilisateur, l’emplacement du dispositif ou même des renseignements biométriques.

Source :

Matériel fourni par l’Université Lancaster.