Une technique d’attaque vieille de trois ans pour contourner le reCAPTCHA audio de Google en utilisant sa propre API Speech-to-Text fonctionne toujours avec une précision de 97%.

Le chercheur Nikolai Tschacher a révélé ses conclusions dans une preuve de concept (PoC) de l’attaque du 2 janvier.

“L’idée de l’attaque est très simple: vous récupérez le fichier MP3 du reCAPTCHA audio et vous le soumettez à la propre API de synthèse vocale de Google”, Tschacher m’a dit dans un article. “Google renverra la bonne réponse dans plus de 97% des cas.”

Introduit en 2014, CAPTCHA (ou test de Turing public complètement automatisé pour dire Computers and Humans Apart) est un type de test défi-réponse conçu pour se protéger contre la création automatisée de comptes et les abus de service en présentant aux utilisateurs une question facile à résoudre pour les humains mais difficile pour les ordinateurs.

reCAPTCHA est une version populaire de la technologie CAPTCHA qui a été acquise par Google en 2009. Le géant de la recherche a publié le troisième itération de reCAPTCHA en octobre 2018. Il élimine complètement le besoin de perturber les utilisateurs avec des défis en faveur d’un score (0 à 1) retourné en fonction du comportement d’un visiteur sur le site Web – le tout sans interaction de l’utilisateur.

Toute l’attaque repose sur des recherches surnommées “unCaptcha», publié par des chercheurs de l’Université du Maryland en avril 2017 ciblant la version audio de reCAPTCHA. Offert pour des raisons d’accessibilité, il pose un défi audio, permettant aux personnes malvoyantes de lire ou de télécharger l’échantillon audio et de résoudre la question.

Pour réaliser le attaque, la charge utile audio est identifiée par programme sur la page à l’aide d’outils tels que Selenium, puis téléchargée et introduite dans un service de transcription audio en ligne tel que Google Speech-to-Text API, dont les résultats sont finalement utilisés pour vaincre le CAPTCHA audio.

À la suite de la divulgation de l’attaque, Google a mis à jour reCAPTCHA en juin 2018 avec une détection améliorée des robots et une prise en charge des phrases parlées plutôt que des chiffres, mais pas assez pour contrecarrer l’attaque – pour les chercheurs ont publié “unCaptcha2“en tant que PoC avec une précision encore meilleure (91% par rapport aux 85% d’unCaptcha) en utilisant un” sélecteur d’écran pour se déplacer vers certains pixels de l’écran et se déplacer sur la page comme un humain “.

L’effort de Tschacher est une tentative de maintenir le PoC à jour et de fonctionner, permettant ainsi de contourner la version audio de reCAPTCHA v2 en

«Pire encore: reCAPTCHA v2 est toujours utilisé dans le nouveau reCAPTCHA v3 comme mécanisme de secours», a noté Tschacher.

Avec reCAPTCHA utilisé par des centaines de milliers de sites pour détecter le trafic abusif et la création de compte de bot, l’attaque est un rappel qu’elle n’est pas toujours infaillible et des conséquences importantes qu’un contournement peut entraîner.

En mars 2018, Google adressé une faille distincte dans reCAPTCHA qui permettait à une application Web utilisant la technologie de créer une requête à «/ recaptcha / api / siteverify» de manière non sécurisée et de contourner la protection à chaque fois.



Leave a Reply