Discussion :

[St�phane le calme]

� Les CAPTCHA ne nous reconnaissent pas comme des humains �,
des associations australiennes de personnes invalides veulent les voir dispara�tre du Web

Lorsque l'Universit� Carnegie-Mellon �tablissait une famille de tests de Turing dans le but de diff�rencier de mani�re automatis�e un utilisateur humain d'un ordinateur, le projet a �t� salu� par le plus grand nombre. L'acronyme CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) a alors �t� adopt� en masse sur des sites dynamiques de plus en plus nombreux. Le principe en lui-m�me est assez simpliste : un algorithme propose � l'internaute une combinaison de symboles qu'il doit reproduire pour avoir acc�s au syst�me.

Seulement, quelques communaut�s en Australie s'�rigent d�j� contre ce proc�d� ; l'ACCAN (Australian Communications Consumer Action Network), les Blind Citizens Australia (association des aveugles), Australian Deafblind Council, Media Access Australia et Able Australia ont organis� une campagne pour faire dispara�tre les CAPTCHA.

La raison ? Selon eux les CAPTCHA ont du mal � les reconna�tre comme des humains. Pour eux, les m�thodes utilis�es pour diff�rencier les humains des machines sont frustrantes ; du texte d�lib�r�ment occult� et parfois difficilement lisible pour ceux qui ont des probl�mes de vue, sans parler des personnes victimes de troubles auditifs.

Teresa Corbin, pr�sidente de l'association ACCAN, estime que � les CAPTCHA ne reconnaissent fondamentalement pas correctement les personnes handicap�es comme des �tres humains. �.

D'ailleurs, un document du W3C dat� de 2005 pr�conise d'autres m�thodes de contr�le de spam, expliquant que, bien que l'approche des CAPTCHA s'av�re souvent efficiente, elle rend l'utilisation du site plus complexe. Pourtant la version primitive de ces tests est disponible depuis 1997 et en l'an 2000 la notion de CAPTCHA fait son entr�e sur la sc�ne.

Les associations continuent leur combat pour faire �ter ce syst�me du net et recommandent aux d�veloppeurs une m�thode alternative aux tests visuels de Turing : � si l'utilisateur est d�j� inscrit sur le site, il faudrait lui envoyer via courriel un lien d'activation. � Pr�cisons que cette m�thode n'est identifi�e nul part dans le document du W3C.

Source : W3C

Et vous ?

Qu'en pensez-vous ? La m�thode d�crite par les associations vous semble-t-elle s�curitaire ?

Avez-vous d�j� utilis� des CAPTCHA lors de vos d�veloppements ?

Pr�f�rez-vous ce syst�me de filtrage � un autre ou est-ce par habitude ?

[Mr_Exal]

Qu'en pensez-vous ? La m�thode d�crite par les associations vous semble-t-elle s�curitaire ?

Les Captcha sont une s�curit� efficace, mais tr�s contraignant pour les utilisateurs. Quand ceux ci sont lisibles ou reproductibles ils sont parfois longs comme le bras ...

Avez-vous d�j� utilis� des CAPTCHA lors de vos d�veloppements?

Oui pour des inscriptions sur un site web.

Pr�f�rez-vous ce syst�me de filtrage � un autre ou est-ce par habitude ?

C'est un syst�me efficace mais contraignant. Maintenant il existe des "CAPTCHA" sous forme de mini jeux vid�os HTML5 qui peuvent aussi �tre utilis�s.

[dolu02]

Je l'ai souvent mis en place mais sur des sites avec peu de spam et d'utlisateurs.

Quelqu'un a un retour d'exp�rience sur la m�thode "honeypot" � partager?

[BenoitM]

Les Captcha sont une s�curit� efficace, mais tr�s contraignant pour les utilisateurs. Quand ceux ci sont lisibles ou reproductibles ils sont parfois longs comme le bras ...

Comment connais tu leur �fficacit�s?
Bon ca rend le travaille du hacker un peu plus complexe mais j'ai un doute que se soit si inviolable.

Au debut il s'agisait des simples textes � retranscrire, puis d'images ensuite des images transform�s qui sont maintenant parfois tellement illisible que m�me moi je n'arrive qu'� les d�chiffr�s une fois sur trois
R�sultat on a mis une partie audio mais quand je vois la prise de SMS via le mode vocal des smartphones je me dis que si on le veut vraimment ca ne doit pas �tre si difficile � passer outre cette protection
Certe impl�menter cette solution demande beaucoup d'effort pour s'adapter � chaque site mais ne me semble pas si complexe � mettre en oeuvre

[SylvainPV]

Les Captcha sont une tr�s mauvaise solution anti-machine. Plus on avance sur les progr�s faits sur les logiciels de reconnaissance de caract�res, plus les captcha doivent �tre difficiles � d�chiffrer. Au final, selon certaines �tudes les meilleurs logiciels d'analyse se trompent moins souvent sur le d�chiffrage d'un captcha qu'un humain. C'est donc compl�tement inefficace et contre-productif, en plus de rebuter la plupart des utilisateurs.

Je vois deux alternatives :
1) utiliser des tests de logique visuelle ou de culture g�n�rale. Sur mon dernier projet, on a r�dig� 100 questions de culture g�n�rale tr�s simples. Une question est tir�e au sort et doit �tre r�pondue par l'utilisateur au milieu du formulaire. C'est beaucoup moins contraignant, par contre on exclut potentiellement certains utilisateurs qui auraient des connaissances extr�mement limit�es (enfin vu la gueule des questions, c'est pas une grande perte)

2) plut�t que de discriminer machines et humains, r�fl�chir � pourquoi on le fait et comment on pourrait le faire autrement. S'il s'agit de limiter le spam ou les attaques, d'autres m�canismes peuvent �tre utilis�s en aval c�t� serveur pour s'en pr�munir.

[Darkzinus]

Il faut avouer que c'est parfois la mis�re pour d�chiffrer ces caract�res. Pourtant ma vision est excellente donc je n'imagine m�me pas pour les malvoyants la gal�re

[grunk]

Un bon captcha � en principe une version visuelle et une version audio de telle sorte qu'un mal voyant pourrait avoir une dict�e du captcha (sous r�serve d'accessibilit� du bouton , etc ...).

Apr�s effectivement si on est sourd et aveugle �a devient un peu plus compliqu� et je vois d'ailleurs pas comment on peut surfer sur le web dans ces conditions.

Personnellement j'opte souvent pour le "honey pot" qui consiste � masquer un ou plusieurs champs en css (donc l'utilisateur ne le voit pas) qu'un robot va s'empresser de remplir.

Du coup au traitement si le champ cach� est rempli => robots , sinon humain. J'avoue que �a marche plut�t bien.
Apr�s dans le cas d'une attaque sp�cifiquement dirig� sur mon site , c'est nettement moins efficace qu'un captcha puisque bien plus facilement contournable (omettre un champs ou cod� un ocr c pas tout � fait pareil ).

C'est beaucoup moins contraignant, par contre on exclut potentiellement certains utilisateurs qui auraient des connaissances extr�mement limit�es

Je m'en vais de ce pas contacter l'association des cancres qui se fera un plaisir de raler

Pour en revenir au captcha certains sont plus qu'un simple test. Chez Google par exemple il permettent d'am�liorer leur OCR , certains embarque de la pub, bref ils ont une valeur ajout�e et je trouve �a particuli�rement int�ressant.

[ymoreau]

Quelqu'un a un retour d'exp�rience sur la m�thode "honeypot" � partager?

J'avais mis �a en place y'a 5-6 ans au moins et �a marchait vraiment tr�s bien, plus aucun spam. Mais comme le dit l'article il suffit que la technique se g�n�ralise pour que les robots s'y adaptent. Je ne sais pas si elle est encore efficace aujourd'hui.

[ILP]

�a me fais un peu penser � cette planche de CommitStrip :
http://www.commitstrip.com/fr/2012/1...parle-chinois/

Avez-vous d�j� utilis� des CAPTCHA lors de vos d�veloppements ?
J'avoue avoir d�j� cr�� un petit syst�me de Captcha dans mon ancienne entreprise. Apr�s avoir eu des spams r�curant via le formulaire de contact du site vitrine de l'entreprise.

[sevyc64]

Ces CAPTCHA sont une v�ritable plaie.

Soit ils sont un minimum lisible et les algorithmes d'analyse d'image (et donc les robots) arrive � les traiter relativement correctement, soit ils sont r�sistant aux robots et totalement illisibles pour l'homme.

J'en ai m�me rencontr� de rose sur fond vert, comme dans les tests chez l'opticien. Si c'est pas se foutre de la gueule du monde, l�!

Et en plus �a fait perdre un temps ph�nom�nal cette m***.

Bref, je suis absolument et vigoureusement contre. Et je n'ai pas de solution de remplacement.

[imikado]

Qu'en pensez-vous ? La m�thode d�crite par les associations vous semble-t-elle s�curitaire ?
Pourquoi pas m�me si c'est un peu lourd et on perd en spontan�it�: obliger d'aller voir ses mails pour valider un commentaire, une soumission

Avez-vous d�j� utilis� des CAPTCHA lors de vos d�veloppements ?
Non pas encore, mais j'ai d�j� r�fl�chis � la question pour l'ajouter � mon framework. Mais personnellement je serais plus soit pour des couples questions r�ponses: Les lapins aime : les carottes, les oignons, les chips
ou les tests de math�matique simple: neuf + 3 = [champ libre]
ou encore des tests simple presentant par exemple 3 hommes et une femme et demander de cliquer sur la femme, idem pour des animaux...

Pr�f�rez-vous ce syst�me de filtrage � un autre ou est-ce par habitude ?
Je n'aime pas, c'est des fois plus facile pour certains robots des spam de d�crypter les lettres d�form�s que pour un humain

[s4mk1ng]

Qu'en pensez-vous ? La m�thode d�crite par les associations vous semble-t-elle s�curitaire ?

Moui, �a me parait assez lourd personnelement...

Avez-vous d�j� utilis� des CAPTCHA lors de vos d�veloppements ?

Oui pour des formulaires.

Pr�f�rez-vous ce syst�me de filtrage � un autre ou est-ce par habitude ?

Je l'ai utilis� par habitude mais ce n'est pas mon pr�f�r�, aujourd'hui les mini-jeux sont beaucoup plus plaisantes, je trouve. Apr�s �videmment pour les aveugles bah �a va pas non plus �tre adapt� pour eux...

[bob633]

Avez-vous d�j� utilis� des CAPTCHA lors de vos d�veloppements ?
Non pas encore, mais j'ai d�j� r�fl�chis � la question pour l'ajouter � mon framework. Mais personnellement je serais plus soit pour des couples questions r�ponses: Les lapins aime : les carottes, les oignons, les chips
ou les tests de math�matique simple: neuf + 3 = [champ libre]
ou encore des tests simple presentant par exemple 3 hommes et une femme et demander de cliquer sur la femme, idem pour des animaux...

C'est ce que je fais aussi.

G�n�ralement, je met une op�ration simple du style combien font 50 + 50 + 50, ou alors je met une liste d�roulant avec une dizaine de mot, et je demande de s�lectionnez le 3eme, le 4eme ou autre.

Je pense que cette m�thode est loin d'�tre s�curis�e et fiable � 100%, mais comme dit avant, les captchas sont parfois illisibles, et c'est vraiment horribles de devoir faire 10 essais jusqu'� en trouver un. Du coup.

Apr�s pour mes sites persos, je n'ai jamais eu de soucis avec ces petites m�thodes simplistes.

[LooserBoy]

Jouant � un jeu en pages web, ils se sont mis � en mettre pour �viter que des bots ne jouent � la place de vrais joueurs.
Ce qui est, dans le principe, louable de leur part car certains joueurs avaient des progressions compl�tement hallucinantes, m�me pour des comptes tenus par des personnes qui se relaient. Aucun temps de latence, les navires, revenus d'une petite escapade, repartaient dans la seconde, syst�matiquement.

J'ai essay� d'en avoir un pour montrer ce que �a donne mais ils sont demand�s de mani�re al�atoires. Parfois, je suis plus d'une demi journ�e sans en voir et parfois j'en ai 4/5 � la suite dans l'heure.

[EDIT]Voici ce que �a peut donner:

[/EDIT]

J'ai une assez bonne vue, aucun probl�me de daltonisme et pourtant, je n'arrive pas � les d�chiffrer 1 coup sur 3 car ils jouent sur la transparence des lettres/chiffres, leur forme (parfois un Y ressemble � un V et vice versa) et la couleur du symbole et du fond.

Il n'y a, de plus, pas de possibilit� d'avoir la retranscription en audio. Accessibilit�: 0.

J'ai un ancien membre de ma guilde qui est daltonien. Il a un taux de reconnaissance absolument dramatique (1/10 d'apr�s lui) et ne peut donc plus acc�der normalement � une fonctionnalit� prot�g�e par ce syst�me importante pour le gameplay.
Elle permet de gagner des ressources lors d'une comp�tition. C'est int�ressant de pouvoir limiter les pillages, donc les incidents diplomatiques et la jouer plus commer�ant ou avec un peu d'exp�rience, fonctionner en autarcie, de venir en aide aux petits camarades,... �a l'en a d�go�t�.

Alors les captcha, voil� ce que j'en pense :



Jamais utilis� sur mes d�vs, jamais eu besoin et heureusement.

La m�thode pr�sent�e ne me semble pas mieux.

La solution d'une petite question de logique me semble assez pertinente comme le pr�sente imikado.

[meganet]

�tant aveugle, je ne peux que confirmer que c'est effectivement tr�s handicapant. Par contre effectivement c'est souvent plus facile pour un robot de les d�crypter. J'utilise une extension pour Firefox (webvisum) qui permet de les d�crypter � l'aide d'un raccourci, et � par sur le forum de Korben ou j'ai d� m'y reprendre � 6 ou 7 fois en g�n�ral �a passe du premier voir du deuxi�me coup mais pas plus!
Donc oui un petit teste logique ou de culture g�n�rale, avec en plus un lien d'activation par mail si vraiment on y tient est tout aussi efficace!

[Kikuts]

A MORT LES CAPTCHAS sans d�conner ... C'est tellement bidon � contourner pour quelqu'un qu'y s'y connait ... La reconnaissance vocale + "lire le captcha", r�cup�ration du flux audio et bim ! Adieu le captcha !

J'exag�re � peine ...


Je pr�f�re de loin l'une des solutions suivantes :

- soit un champ masqu�, avec un name comme Email, le robot, il le rempli sans r�fl�chir une sec ! Alors que votre v�ritable champ email s'appel le par exemple antiBot et hop !! Bingo

- soit la question super simple : saisir combien font 2 + 7 moins sept = [saisir ici] le mieux selon moi ! Avoir une base de question du genre et proposer 2 questions aux utilisateurs, d�s fois qu'un bot connaisse la r�ponse de l'un mais pas de l'autre.

[goomazio]

Pour en revenir au captcha certains sont plus qu'un simple test. Chez Google par exemple il permettent d'am�liorer leur OCR , certains embarque de la pub, bref ils ont une valeur ajout�e et je trouve �a particuli�rement int�ressant.

Bien jou� Google. Faire d�chiffrer les mots que l'OCR ne comprend pas aux internautes, sous formes de Captchas, c'est bien trouv�.

[sevyc64]

Bien jou� Google. Faire d�chiffrer les mots que l'OCR ne comprend pas aux internautes, sous formes de Captchas, c'est bien trouv�.

ouais sauf que les robots le savent. Ils reconnaissent correctement le mot qui sert de cl�, ne reconnaissent pas forc�ment, comme google, le second mot et donc renvoient une donn�e bidon et �a passe

Moi-m�me combient de fois je l'ai fait

[Paul TOTH]

je ne sais pas s'il est efficace mais je trouve celui d'orange original

[benjani13]

je ne sais pas s'il est efficace mais je trouve celui d'orange original

J'ai d�j� rencontr� ce principe sur diff�rents sites (une question pos�e, avec une r�ponse simple) et je trouve ce proc�d� bien mieux que les CAPTCHA. Apr�s il faut voir si c'est s�curis� en effet.

J'ai remarqu� ces derni�res ann�es que les CAPTCHA se sont tr�s fortement compliqu�s (des �l�ments recouvrant en partie le texte, deux textes dans des polices diff�rentes, des polices al�atoires), devenant de moins en moins lisible. C'est surement pour contrer les robots qui arrivaient � lire les captcha simples, mais cela rend l�exp�rience utilisateur tr�s p�nible.

Je n'ose imagine le calvaire des mal ou non voyant.