Google: l’API Speech-to-Text permet de contourner reCAPTCHA

Une technique d’attaque vieille de trois ans qui permet de contourner le reCAPTCHA audio de Google en utilisant son API Speech-to-Text fonctionne toujours avec une précision de 97%.

Le chercheur Nikolai Tschacher a révélé ses conclusions dans une preuve de concept de l’attaque le 2 janvier.

“L’idée de l’attaque est très simple: vous récupérez le fichier MP3 du reCAPTCHA audio et vous le soumettez à l’API de synthèse vocale de Google”, a déclaré Tschacher dans un article. “Google renverra la bonne réponse dans plus de 97% des cas.”

Introduits en 2000, les CAPTCHA sont un type de tests challenge-réponse conçus pour se protéger contre la création automatisée de comptes et les abus de service en présentant aux utilisateurs une question facile à résoudre pour les humains, mais difficile pour les ordinateurs.

reCAPTCHA est une version populaire de la technologie CAPTCHA qui a été acquise par Google en 2009. Le géant de la recherche sur internet a déployé la troisième itération de reCAPTCHA en Octobre 2018. Cela élimine complètement le besoin de perturber les utilisateurs avec des challenges en faveur d’un score (0 à 1) qui est retourné en fonction du comportement d’un visiteur sur le site Web – le tout sans interaction de l’utilisateur.

L’ensemble de l’attaque repose sur une recherche baptisée «unCaptcha», publiée par des chercheurs de l’Université du Maryland en Avril 2017 ciblant la version audio de reCAPTCHA. Proposé pour des raisons d’accessibilité, il présente un challenge audio, permettant aux personnes malvoyantes de lire ou de télécharger l’échantillon audio et de répondre à la question.

Pour mener à bien l’attaque, la charge utile audio est identifiée par programme sur la page à l’aide d’outils comme Selenium, puis téléchargée et introduite dans un service de transcription audio en ligne tel que l’API Google Speech-to-Text, dont les résultats sont finalement utilisés pour résoudre la CAPTCHA audio.

Google reCAPTCHA

Suite à la divulgation de l’attaque, Google a mis à jour reCAPTCHA en Juin 2018 avec une détection améliorée des bots et une prise en charge des phrases parlées plutôt que des chiffres, mais pas assez pour contrecarrer l’attaque – car les chercheurs ont publié “unCaptcha2” en tant que preuve de concept avec une précision encore meilleure (91% comparé aux 85% d’unCaptcha) en utilisant un “sélecteur d’écran pour se déplacer vers certains pixels de l’écran et se déplacer sur la page comme un humain”.

L’effort de Tschacher est une tentative de maintenir la preuve de concept à jour, permettant ainsi de contourner la version audio de reCAPTCHA v2 en exploitant un robot pour simuler l’ensemble du processus et contourner les protections.

«Pire encore: reCAPTCHA v2 est toujours utilisé dans le nouveau reCAPTCHA v3 comme mécanisme de secours», a noté Tschacher.

Avec reCAPTCHA utilisé par des centaines de milliers de sites pour détecter le trafic abusif et la création de compte de bot, l’attaque est un rappel que ce processus n’est pas toujours infaillible et que cela peut entraîner des conséquences importantes comme un contournement.

En Mars 2018, Google a corrigé une faille distincte dans reCAPTCHA qui permettait à une application Web utilisant la technologie de créer une requête vers «/recaptcha/api/siteverify» de manière non sécurisée et de contourner la protection à chaque fois.

Si cet article vous a plu, jetez un œil à notre article précédent.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires