Répandus comme une trainée de poudre sur le web depuis 2004, les captchas permettent aux éditeurs et fournisseurs de services de vérifier que ce sont bien des humains derrière leur écran qui naviguent ou effectuent des recherches sur leurs sites Internet. Pour les mettre en place, Google propose un outil, reCAPTCHA : bien que pratique et utile, ce dernier s'avère loin d'être infaillible en particulier sur la reconnaissance vocale proposée par exemple pour permettre aux utilisateurs malvoyants d'accéder aux pages.
Ainsi, depuis avril 2017 une équipe de chercheurs de l'Université du Maryland était parvenue à développer un outil, unCaptcha, permettant d'utiliser l'API Speech to Text de Google pour tromper reCAPTCHA avec un taux de réussite de 85%. Mais depuis une dernière mise à jour en janvier 2019, ce POC ne fonctionnait plus. Ce n'est désormais plus le cas car un chercheur indépendant en sécurité, Nikolai Tschacher, est parvenu à casser le mécanisme de protection anticaptcha de reCAPTCHA v3. « L'idée de l'attaque est très simple: vous récupérez le fichier mp3 du reCAPTCHA audio et vous le soumettez à l'API Speech to Text de Google. Google renverra la bonne réponse dans plus de 97% des cas », annonce Nikolai Tschacher.
Un hack difficile à industrialiser
« Il y a toujours eu un jeu du chat et de la souris entre des barrières comme CAPTCHA et reCAPTCHA, et des solutions de contournement utilisées par les attaquants à la recherche d'automatisation », a fait savoir Oliver Tavakoli, directeur technique de Vectra à Threatpost. « Il s'agit d'une approche intelligente dans la mesure où elle utilise un autre système mis à la disposition des personnes malvoyantes pour dé-fang reCAPTCHA - et l'utilisation de la propre API de synthèse vocale de Google ajoute un peu d'ironie à la solution de contournement. Difficile de voir comment fournir une assistance aux malvoyants sans rendre reCAPTCHA beaucoup plus facile à jouer ».
Si non seulement ce hack, dont une vidéo a été publiée, fonctionne avec la v3 d'unCaptcha et améliore de 12 points la précision de la reconnaissance vocale pour tromper reCAPTCHA, ce dernier a toutefois des limites. Nikolai Tschacher a en effet précisé qu'il serait difficile de l'exploiter à grande échelle car Google limite le débit audio CAPTCHA, suit probablement les métriques des robots et crée une empreinte digitale de chaque appareil de navigation pour arrêter les bots.