Les CAPTCHA sont excellents pour la sécurité, mais terribles pour votre vie privée.
Fait intéressant :vous rencontrez rarement un CAPTCHA original. Ils ont été largement supplantés par les reCAPTCHA, un système appartenant au géant des moteurs de recherche Google. Et dans le but d'arrêter les spambots, les reCAPTCHA ont tellement évolué qu'ils constituent désormais une menace pour votre vie privée.
Un test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains (CAPTCHA) était un outil utile pour empêcher les bots de spammer des formulaires. Les CAPTCHA traditionnels faussaient le texte dans le but de le rendre illisible pour les logiciels malveillants. Les humains pouvaient cependant le déchiffrer, ils agissaient donc comme des filtres.
Les spammeurs sont devenus plus intelligents. Les CAPTCHA devaient évoluer. Ils se sont transformés en reCAPTCHA, développés par la même équipe qui a initialement conçu les tests. Google a acquis le projet en 2009. Cela a soulevé quelques sourcils car de nombreux utilisateurs doutent de ses intentions.
Les ReCAPTCHA ont néanmoins été utilisés pour un grand effet. Ils ont fait progresser l'apprentissage automatique. Au lieu de lettres aléatoires, un reCAPTCHA composé de mots que les robots de Google ne pouvaient pas déchiffrer. Les connaissances acquises grâce à ces tests améliorés ont entraîné la numérisation automatisée d'une grande partie de la littérature classique pour son service Google Livres.
Puis les algorithmes ont pris le pas sur les humains. Les ReCAPTCHA sont devenus redondants. C'est pourquoi Google a introduit NoCAPTCHA reCAPTCHA.
Avez-vous déjà cliqué sur le bouton "Je ne suis pas un robot" et avez-vous été approuvé sans avoir à insérer d'informations supplémentaires ? C'est parce que le site utilise reCAPTCHA v2 ou version ultérieure.
Avec sa deuxième version, Google a introduit la vérification basée sur d'autres mesures, à savoir si les autres activités de l'utilisateur sur le site indiquent un humain ou un bot. Les CAPTCHA ne sont présentés qu'en cas d'échec.
Puis vint reCAPTCHAs v3. Cette mise à jour a éliminé la case à cocher "Je ne suis pas un robot". Il est également conçu pour rationaliser le processus, afin que l'expérience utilisateur soit beaucoup plus agréable.
Celui-ci utilise la même base que la version 2, en ce sens qu'il évalue l'activité sur le site. Cela va cependant plus loin en approfondissant vos déplacements en ligne.
Cela réduit encore le risque que les agriculteurs CAPTCHA (personnes employées pour casser les CAPTCHA traditionnels) passent à travers la mesure de sécurité. Avec la v3, leur tâche consisterait essentiellement à deviner comment les utilisateurs normaux interagissent avec le site ; mais en raison de la portée plus large de la v3, un profil en ligne plus complet doit également être en place.
4,5 millions de sites utilisent déjà reCAPTCHA (dont un quart des 10 000 premiers). Plus de 650 000 d'entre eux ont installé reCAPTCHA v3.
Vous trouverez différentes versions de reCAPTCHA sur Internet, car les administrateurs de sites Web peuvent toujours utiliser des plug-ins obsolètes. Les ReCAPTCHA v1 (CAPTCHA de base) sont mauvais pour la sécurité d'un site, mais meilleurs pour votre vie privée.
Comment fonctionne reCAPTCHA v3 et pourquoi est-ce une chose négative pour votre vie privée ?
L'une des façons dont v3 vérifie la validité consiste à vérifier si vous avez déjà installé un cookie Google sur votre navigateur. Les cookies sont des données stockées sur vos interactions avec un site, généralement pour que les éléments puissent se recharger plus rapidement. Connectez-vous à un compte Google et reCAPTCHA comme vous déjà.
La logique est bonne :toute personne possédant un compte Google est plus susceptible d'être un véritable humain, pas un bot.
Les administrateurs sont encouragés à intégrer le code reCAPTCHA sur toutes les pages Web (protégées par la modification des clés de cryptage), afin que le service puisse évaluer plus précisément l'activité typique. Ce qui soulève des questions sur les données collectées et sur ce que Google en fait.
Sur cette base, reCAPTCHA attribue aux visiteurs un score, les marquant à risque faible ou élevé. 1.0 signifie que vous êtes définitivement humain. 0.0 signifie que vous êtes presque certainement un spambot. En règle générale, les utilisateurs à faible risque n'auront pas besoin de passer par une validation supplémentaire.
Cela signifie également que toute personne utilisant un réseau privé virtuel (VPN) est automatiquement signalée comme présentant un risque élevé. Et pourtant, beaucoup --- y compris MakeUseOf --- vous recommandent d'utiliser un VPN pour améliorer votre confidentialité en ligne. Les données d'activité ne sont pas capturées car les visiteurs sont anonymisés. Les VPN battent les verrous régionaux et la censure. Ils peuvent vous faire économiser de l'argent. Et ils constituent une barrière contre les cybercriminels.
En fait, il existe de nombreuses raisons pour lesquelles vous devriez utiliser un VPN. C'est un revers considérable pour reCAPTCHA de pénaliser ceux qui en utilisent un. Ce n'est pas un choc majeur, cependant :Google s'appuie sur les informations concernant ses utilisateurs pour générer des revenus.
Comment Google utilise-t-il les données collectées ?
Le service recueille des informations logicielles et matérielles sur les visiteurs du site, telles que l'adresse IP, les plug-ins de navigateur et l'appareil que vous utilisez.
Google garantit aux utilisateurs que tout ce qui est collecté via l'API reCAPTCHA n'est pas utilisé pour déterminer vos centres d'intérêt. Il n'est pas utilisé pour les publicités, ce qui pourrait vous surprendre. L'entreprise dit :
"Les informations collectées dans le cadre de votre utilisation du service seront utilisées pour améliorer reCAPTCHA et à des fins de sécurité générale. Elles ne seront pas utilisées à des fins de publicité personnalisée par Google."
Bien sûr, Google n'est pas la seule entreprise à vous suivre. Regardez les plug-ins de médias sociaux, utilisés pour partager des articles sur Facebook, Twitter, etc. Certains de ces widgets collectent également des informations sur les visiteurs, ce qui signifie que peu importe si vous avez un profil :Facebook peut toujours vous suivre.
Il n'y a rien sur reCAPTCHA v3 dans les conditions d'utilisation de Google. Ceci malgré les reCAPTCHA liés à ces politiques. Cela signifie que nous devons simplement les croire sur parole.
Le problème principal, mis à part les problèmes de confidentialité, est que même reCAPTCHA v3 n'est pas assez bon. Une équipe de recherche a découvert que l'intelligence artificielle avait encore un taux de réussite de 90 %.
Il y a une pression supplémentaire maintenant parce que nous sommes conscients des violations potentielles de la vie privée.
Le problème est que la diversité humaine signifie qu'il est difficile de trouver des solutions communes. Les CAPTCHA basés sur des images vous demandent généralement de rechercher des panneaux de signalisation, mais un essai a testé si le déchiffrement des expressions faciales pouvait également fonctionner. Comme vous pouvez l'imaginer, ce n'est pas le cas.
Les tests basés sur le jeu semblent une bonne option. Celles-ci pourraient simplement déplacer des pièces de puzzle dans les bonnes fentes et nécessiteraient des éléments rotatifs. Sans instructions, les robots pourraient avoir du mal à établir de telles connexions. Cependant, le système s'appuierait sur la logique humaine --- qui n'est pas exactement fiable.
Amazon a breveté une notion intéressante, bien qu'apparemment imparfaite, en 2017. Elle postule que la faillibilité humaine est la clé. Le "test de Turing via l'échec" présenterait des défis que la plupart des gens trouveraient trop difficiles à terminer, en particulier dans un court laps de temps. Les humains le font mal et se font vérifier. Les bots donnent toujours les bonnes réponses (ou c'est la théorie).
Luis von Ahn, co-créateur de CAPTCHAs qui a travaillé avec une équipe de l'Université Carnegie Mellon, affirme que l'acquisition de reCAPTCHAs par Google est juste car beaucoup pensaient déjà que le géant de l'Internet possédait le service. La version 3 indique clairement que les reCAPTCHA favorisent les utilisateurs de Google. Est-ce une autre façon pour l'entreprise de prendre le contrôle d'Internet ?
Ou ses intentions sont-elles vraies ?
Quoi qu'il en soit, si vous vous sentez en désaccord avec Google, vous pouvez basculer le navigateur vers une option plus privée. Néanmoins, dans notre évaluation de la sécurité des navigateurs grand public, Chrome est arrivé en tête…