Comment les fraudeurs utilisent des bots pour contourner les CAPTCHA sur votre site

Pour les attaquants cherchant à accéder à votre site Web, un test de sécurité de base appelé CAPTCHA est une excellente ligne de défense. Depuis sa création en 2000, il est devenu de plus en plus sophistiqué pour attraper les bots avancés et assurer la sécurité des sites Web.

Mais nous sommes peut-être à la fin d'une époque car, selon les recherches, la moitié de tous les CAPTCHA passés sont remplis par des bots, et non par de vrais utilisateurs. Cela signifie que les attaquants contrôlant les bots peuvent tout faire, qu'il s'agisse de laisser des commentaires de spam, de soumettre des formulaires invalides ou d'abuser d'autres services fournis par votre site Web.

À la lumière de cela, le moment est venu de comprendre comment fonctionne CAPTCHA, comment un solveur CAPTCHA peut le contourner si facilement et ce que cela signifie pour votre site Web.

Qu'est-ce que le CAPTCHA exactement ?

CAPTCHA est un acronyme descriptif, et il signifie Test de Turing Public Complètement Automatisé pour distinguer les ordinateurs et les humains . Le test CAPTCHA permet aux utilisateurs humains d'accéder à un site Web mais empêche les robots d'entrer. CAPTCHA protège tout, des commentaires de blog spam jusqu'aux téléchargements non autorisés.

Un test CAPTCHA montrera aux utilisateurs des images illisibles par les bots. Avec les lettres, elles sont généralement déformées, délavées ou mélangées avec beaucoup de charabia, de sorte que seuls les humains réels peuvent les interpréter. Avec les images, il y a une sorte de distorsion qui rend plus difficile l'utilisation de l'OCR par les bots.

Les utilisateurs doivent entrer ce qu'ils voient dans le champ fourni, et s'ils répondent correctement, ils ont accès à la zone Web protégée. De simples bots renvoient des lettres irrégulières et incompréhensibles ou cliquent sur les mauvaises images, ce qui rend évident qu'ils ne sont pas humains.

Les robots avancés, quant à eux, peuvent utiliser diverses stratégies pour lire ces images déformées et contourner facilement le test. En conséquence, des CAPTCHA plus sophistiqués, comme le reCAPTCHA de Google, ont été développés pour accroître la sécurité des sites Web.

Types de CAPTCHA

CAPTCHA est soit basé sur du texte, soit sur des images, soit sur des sons, et il y a de fortes chances que vous ayez rencontré les trois.

Texte CAPTCHA

Ce sont les plus courants et ils vous obligent à regarder le texte déformé pour identifier le vrai message. Parfois, ce sont des mondes réels, et d'autres fois, ce sont de simples charabia, déformés par la forme, la taille, la capitalisation ou l'orientation.

Si vous échouez à suffisamment de CAPTCHA textuels, vous serez généralement invité à essayer une autre méthode de vérification, comme une image CAPTCHA.

Image CAPTCHA

Une image CAPTCHA peut être assez gênante lorsqu'il ne semble pas y avoir de réponse claire. Un bon exemple est une image où vous devez sélectionner toutes les grilles avec des feux de circulation, même si la lumière est répartie entre deux grilles.

Heureusement, vous pouvez toujours appuyer sur le bouton d'actualisation pour obtenir une autre image sans conséquence. Ou, vous pouvez essayer le CAPTCHA audio.

CAPTCHA audio

Avec les CAPTCHA audio, les utilisateurs peuvent écouter un court enregistrement et taper le mot qu'ils entendent. Celles-ci sont efficaces car les bots ne peuvent pas utiliser la reconnaissance vocale pour différencier les caractères prononcés du bruit de fond dans l'enregistrement. Cela peut être légèrement inconfortable à entendre pour les humains, mais les CAPTCHA audio sont assez efficaces.

Google reCAPTCHA

Google reCAPTCHA est une version plus avancée des tests CAPTCHA. Au lieu de simplement générer un test de vérification au hasard, il analyse votre modèle de souris et décide quel test afficher.

Si le système pense que vous êtes humain, vous obtiendrez une simple coche CAPTCHA "Je suis, pas un robot". Sinon, vous devrez effectuer un test plus difficile comme cliquer sur tous les bateaux dans un groupe d'images.

Comment les pirates contournent-ils CAPTCHA ?

Les pirates ont désormais plus de facilité à contourner les défis CAPTCHA normaux, et voici quelques-unes des stratégies qu'ils utilisent.

Intelligence Artificielle (IA)

Dans son livre, Deep Learning for Computer Vision with Python, Adrain Rosebrock expose sa stratégie pour contourner CAPTCHA sur le site Web E-ZPass New York. Son approche consistait à télécharger des centaines d'exemples d'images pour former son système car il n'avait pas accès au code source, puis à publier l'IA apprise sur le système.

Les CAPTCHA avec un code open source sont, en théorie, plus faciles à cracker car les pirates peuvent utiliser la source pour entraîner leur système d'apprentissage automatique à contourner les tests CAPTCHA, quelle que soit la difficulté. N'importe qui peut réussir l'examen si vous connaissez toutes les questions possibles.

Cliquez sur les fermes

Les fermes à clics sont un peu moins sophistiquées que l'IA, mais elles font tout de même le travail. Dans une ferme à clics, les travailleurs sous-payés cliquent sur des sites Web en essayant de contourner les mesures de sécurité impossibles pour les bots. Ainsi, alors qu'un CAPTCHA peut bloquer un bot, un humain résoudra les CAPTCHA sans difficulté et en succession rapide.

Il existe également des robots cyborg, qui sont en partie gérés par des humains pour des processus complexes tels que la saisie de CAPTCHA. Les cyborgs sont souvent basés dans des fermes de clics ou des fermes de robots, souvent composées de quelques humains avec tout un mur d'appareils numériques liés.

Consultez notre blog pour un aperçu approfondi du monde des fermes de clics et des fermes de robots.

Stratégies de piratage CAPTCHA

Hack Tricks répertorie certaines des façons dont les pirates informatiques contournent facilement CAPTCHA. Certains d'entre eux incluent la vérification du code source de votre page pour les solutions CAPTCHA (au cas où il s'agirait de texte) ou l'utilisation d'une ancienne valeur CAPTCHA au cas où ils recevraient le même défi deux fois.

D'autres stratégies de contournement CAPTCHA incluent

• Utilisation de l'OCR pour lire les caractères à l'écran
• Vérifier le nombre d'images utilisées et les détecter avec MD5
• Envoyer le paramètre CAPTCHA vide et voir si cela fait l'affaire.

Service de résolution CAPTCHA

Les pirates peuvent également utiliser un service de résolution CAPTCHA pour accéder à votre site. Ces fournisseurs de solutions CAPTCHA utilisent une variété d'approches que nous avons déjà répertoriées, de l'IA aux fermes de clics et même des outils d'API simples qui peuvent contourner les tests CAPTCHA dans des circonstances spécifiques.

Ces services peuvent être appelés via de simples extensions de navigateur afin qu'ils se mettent au travail dès que le bot accède à votre site.

Bogues de sécurité

En 2018, un chercheur en sécurité a trouvé un bug qui lui permettait de contourner le reCAPTCHA de Google. L'essentiel est que les applications Web utilisant reCAPTCHA doivent créer la demande d'une manière spécifique, et parfois, la demande n'est pas sécurisée. Lorsque cela se produisait, les attaquants pouvaient contourner le reCAPTCHA à chaque fois. (Andrés Riancho)

Le bogue a depuis été corrigé et il n'est plus possible de recréer le contournement reCAPTCHA. Cependant, il s'agit d'un excellent exemple de la façon dont les attaquants peuvent exploiter les bogues et les faiblesses pour contourner le CAPTCHA de votre site.

Pourquoi Google reCAPTCHA est plus difficile à contourner

Ce qui est intéressant, c'est que reCAPTCHA analyse le comportement des macros des utilisateurs et adapte les défis si nécessaire. Ainsi, par exemple, la plupart des bots n'obtiendront jamais le test "Je ne suis pas un robot" car ils n'interagissent pas avec les pages Web comme le fait un humain.

Même lorsqu'ils rencontrent la simple invite de coche, ce n'est pas aussi simple que de cocher la case. Si c'était le cas, les robots pourraient saisir les images à l'écran, utiliser l'OCR et savoir où cliquer.

Ces tests analysent également le modèle de mouvement de la souris lorsque vous allez cliquer. Les mouvements de la souris humaine sont très maladroits et saccadés, et lorsque le CAPTCHA le détecte, il vous laisse passer. Un robot se déplacera plus facilement et déclenchera un test plus difficile.

Que se passe-t-il lorsque des pirates piratent votre CAPTCHA ?

Tout pirate informatique indépendant peut contourner votre CAPTCHA en le remplissant simplement comme un humain le ferait. Le danger augmente lorsqu'ils sont capables de contourner votre CAPTCHA avec des bots. Cela signifie qu'ils peuvent bombarder votre serveur avec de nombreuses requêtes, surcharger vos ressources ou éventuellement voler vos données.

Augmentation des commentaires indésirables

Sans un « gardien » CAPTCHA efficace, vous pouvez vous attendre à des commentaires de spam qui annoncent tout, des services malveillants aux autres sites Web. Si votre site Web est configuré pour approuver les commentaires en premier, ils n'apparaîtront pas au grand public. Cependant, vous serez noyé par des dizaines voire des centaines de commentaires non pertinents sur le backend.

Données d'analyse non valides

Les robots fausseront le trafic sur votre page Web et rendront vos données analytiques inutiles. Si les pirates trouvent un moyen de contourner votre CAPTCHA, vous remarquerez peut-être un pic de trafic avec zéro conversion ou constaterez que les utilisateurs abandonnent leurs paniers, et vous ne pourrez pas comprendre pourquoi.

Caisse d'achat non sécurisée

Si vous possédez un site Web de commerce électronique, un CAPTCHA contourné signifie que les pirates peuvent effectuer un certain nombre d'activités frauduleuses. Cela peut inclure l'accès aux comptes d'utilisateurs, la réalisation d'achats avec des cartes volées (carding) et même l'accès à d'autres zones sensibles de votre site Web telles que votre base de données.

Moins de ressources Web

Avec l'accès à votre site Web, les robots bombarderont votre site Web, en soumettant des demandes de connexion et en utilisant des ressources limitées. Cela signifie que les utilisateurs légitimes auront un accès ralenti voire inexistant à votre site Web, ce qui peut être préjudiciable à votre entreprise. Les statistiques montrent que 53% des personnes iront chez un concurrent si votre site Web prend plus de 3 secondes à charger (numérique).

Que pouvez-vous faire pour que CAPTCHA contourne les bots ?

Ajouter reCAPTCHA à votre site Web

reCAPTCHA est beaucoup plus difficile à contourner que CAPTCHA, et c'est donc une bonne idée de l'ajouter à votre site Web. Il est gratuit à utiliser pour le premier million d'évaluations sur votre site Web par mois, facile à installer, et tout ce que vous avez à faire est de vous inscrire pour une paire de clés API pour votre site.

Les instructions spécifiques sont présentées sur la page d'instructions dédiée.

Bot Zapping par ClickCease

Le Bot Zapping de ClickCease ajoute une couche de sécurité supplémentaire à votre site Web, empêchant les formes les plus courantes de trafic automatisé d'accéder à votre site. Le service analyse l'activité de vos visiteurs à la recherche de signes révélateurs de la présence de robots et les empêche d'interagir avec votre site Web.

Cela signifie que même s'ils passent par votre CAPTCHA, Bot Zapping les identifiera et les purgera de votre site Web, permettant uniquement aux clients authentiques de passer.

La ligne du bas

Les tactiques des hackers deviennent de plus en plus sophistiquées à mesure qu'elles contournent les systèmes de défense simples comme CAPTCHA, mais heureusement, vous avez également accès à des mesures avancées.

Bot Zapping de ClickCease s'assurera que ces programmes automatisés ne contournent pas les captchas ou ne dérangent pas vos canaux ou formulaires marketing.

Essayez ClickCease gratuitement pendant 7 jours et voyez à quel point le blocage du trafic automatisé fait une différence sur votre site.