Captcha est l'acronyme de « Completely Automated Public Turing test to tell Computers and Humans Apart » (test public de Turing complet et automatisé pour isoler le dialogue entre les ordinateurs et les humains) et vise à protéger les sites contre les spams automatisés. La plupart des gens sont familiers avec cette solution qui demande aux utilisateurs d'insérer une chaîne de caractères déformés afin de prouver qu'ils ne sont pas des robots. Cependant, il existe également des variantes audio et vidéo de ces techniques. NuCaptcha propose un ainsi outil basé sur la vidéo. Il utilise des techniques d'animation afin de rendre plus difficile le déchiffrement des caractères pour des robots collecteurs de mails et pollueurs de forums. Les concepteurs de cette solution  estiment qu'elle est facile d'utilisation et très sécurisée.

Un test de sécurité aisément cassable

Cependant, selon Elie Bursztein, le chercheur de l'Université de Stanford, ce dernier point n'est pas tout à fait vrai. En effet, le scientifique a travaillé avec d'autres chercheurs depuis octobre 2010 sur la sécurité de NuCaptcha. Ils viennent de mettre au point une méthode pour mettre en défaut le captcha vidéo avec un taux de réussite de plus de 90%. « La partie la plus difficile n'a pas été de craquer NuCaptcha que j'ai su faire depuis décembre 2010, mais plutôt d'arriver au niveau d'abstraction suffisant pour expliquer pourquoi les captcha vidéo pourraient offrir une meilleure sécurité que les captchas images et en synthèse, fournir un niveau de sécurité supplémentaire », explique Elie Bursztein dans son blog.

Sur le plan technique, il précise dans le blog qu'avec ses collègues, ils ont mis au point un outil appelé Decaptcha, qui utilise des algorithmes spéciaux pour venir à bout des captchas. Le chercheur souligne qu'à la différence des captchas statiques, « craquer les captchas vidéos est à la fois plus facile et plus difficile ». Les problèmes résident dans l'isolement de l'objet mobile qui représente la chaîne de caractère.

[[page]]

Cela implique le suivi de mouvement et des algorithmes d'analyse de flux qui permettent d'évaluer chaque objet en fonction de leurs propriétés et leur aspect dans des décors différents. NuCaptcha pour rendre les attaques plus difficiles intègre des décors et des personnages dans ses vidéos. Les autres étapes de la méthode du chercheur sont similaires à celle pour les captcha images. Il considère même que la segmentation de la chaîne de caractères est même plus facile avec le captcha vidéo car il y a plus de frames, fournissant plus d'informations.

Améliorations et réponse de NuCaptcha

La recherche d'Elie Bursztein s'attache aussi à améliorer la sécurité des captchas vidéos. Il explique que si l'intégration de lettres animées au sein d'un décor plus compliqué serait très facile à craquer, « d'un autre côté, il semble que la possibilité d'isoler correctement des objets mobiles soit très difficile ». Il indique que l'ajout d'objets leurres qui ont la même propriété que la chaîne de caractères du captcha dans la vidéo arriverait à tromper l'algorithme de suivi.

Les créateurs NuCaptcha ont été informés des conclusions d'Elie Bursztein en novembre 2011. Selon le chercheur, l'entreprise a déclaré dans une lettre adressée au scientifique que ses systèmes de captcha vidéos comprennent des degrés de complexités différentes en fonction du risque associé à chaque utilisateur. Cela signifie que les demandes provenant d'adresses IP qui sont, par exemple, liées à une activité de botnets, généreraient des captchas plus complexes que ceux à destination des utilisateurs moyens. La société a ainsi répondu au chercheur que ces captchas spécifiques comprennent des tailles de police différentes et des distorsions dans le texte. Ils sont différents de ceux qui ont été analysés par le groupe de scientifiques. Ces derniers semblent sceptiques en concluant qu'intégrer des distorsions dans le texte ne représentent pas une défense efficace.