Les CAPTCHAs sont définitivement vaincus grâce à l'IA
Vous connaissez sûrement ces captchas agaçants qui vous demandent en boucle de cliquer sur tous les feux tricolores, les camions ou les passages piétons pour prouver que vous n’êtes pas un robot. La raison même pour laquelle les Daft Punk n’ont jamais eu de compte Gmail, d’ailleurs.
Ces CAPTCHAs, censés être notre dernier rempart contre l’invasion des machines, viennent de se faire latter la gueule par l’intelligence artificielle. Comme c’est surprenant ! (non)
En effet, une nouvelle étude vient de démontrer que l’IA est désormais capable de résoudre ces fameux casse-têtes avec un taux de réussite de 100% !
Mais avant d’aller plus loin, petit rappel pour ceux qui auraient vécu dans une grotte ces dernières années : les CAPTCHAs (ce qui veut dire “Completely Automated Public Turing test to tell Computers and Humans Apart” (pfiouuuu)), sont des tests visuels censés différencier les humains des “bots” sur internet. Google en a popularisé une version très répandue appelée reCAPTCHA, que vous avez sûrement déjà croisée lors de vos pérégrinations sur le web. Et si vous avez déjà passé 10 minutes à essayer de déterminer si ce pixel flou fait partie d’un pneu de vélo ou pas, vous savez à quel point ça peut être frustrant.
Mais revenons à nos moutons, ou plutôt à nos intelligences artificielles, les nouveaux moutons électriques. Des chercheurs de l’École polytechnique fédérale de Zurich ont mis au point un système basé sur des modèles de deep learning avancés, notamment le fameux YOLO (You Only Look Once), capable de résoudre 100% des CAPTCHAs de type reCAPTCHA v2.
Pour les plus geeks d’entre vous, sachez qu’ils ont utilisé une version fine-tuned de YOLOv8 entraînée sur pas moins de 14 000 images de trafic labellisées.
Mais comment diable ont-ils réussi cet exploit ?
Voici les ingrédients de leur recette diabolique :
1. Un modèle de reconnaissance d’objets aux petits oignons : Leur IA est capable d’identifier avec une précision chirurgicale les éléments demandés dans les images, que ce soit des feux de signalisation, des voitures ou des passages piétons…etc.
2. Une stratégie d’attaque bien huilée : Pour contourner les mécanismes de détection de bots, les chercheurs ont utilisé un VPN pour changer d’adresse IP à chaque tentative, simulé des mouvements de souris réalistes et même ajouté de fausses données de navigation pour paraître plus “humains”.
3. Une approche sur mesure pour chaque type de CAPTCHA : L’équipe a développé des techniques spécifiques pour résoudre les différentes variantes de reCAPTCHA v2, s’adaptant ainsi à toutes les situations.
Le résultat ?
Un taux de réussite de 100%, surpassant même les performances humaines ! En effet, l’étude a montré que leur IA résolvait en moyenne les CAPTCHAs plus rapidement et avec moins d’erreurs que les participants humains. De quoi remettre sérieusement en question l’efficacité de ces tests pour distinguer les hommes des machines. Va falloir trouver autre chose, mais ne vous inquiétez pas, ce n’est pas demain que les robots prendront le contrôle de vos comptes en ligne (quoique…). Les chercheurs ont réalisé cette étude dans un cadre éthique et ont bien sûr partagé leurs découvertes avec Google et la communauté scientifique. L’objectif étant d’améliorer la sécurité en ligne, et bien sûr pas de créer une armée de bots maléfiques prêts à spammer tous les forums du monde (il doit en rester 3 en ligne au dernier recensement !).
Alors, que nous réserve l’avenir en matière de Captcha ?
Google a déjà commencé à déployer reCAPTCHA v3, une version “invisible” qui analyse le comportement de l’utilisateur plutôt que de lui demander de résoudre des énigmes visuelles. D’autres pistes sont également explorées, comme l’utilisation de défis plus abstraits ou de tests basés sur la compréhension du contexte. Et peut-être qu’un jour, pour prouver que vous êtes humain, il faudra prendre rendez-vous avec votre proctologue qui vous fournira une attestation à transmettre à Google ou Meta.
En attendant, la prochaine fois que vous serez confronté à un CAPTCHA particulièrement difficile, dites-vous que quelque part, une IA l’a déjà probablement résolu plus vite que vous. Les boules ^^.
Source : Ars Technica
Que faire après le bac quand on est passionné de cybersécurité ?
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).