Le Captcha de la webmail Gmail piraté

Le par  |  9 commentaire(s) Source : Par la rédaction de Vulnerabilite.com
GMail

Nos confrères de Vulnérabilité nous apprennent la nouvelle mise en échec du système Captcha qui vient d'être contourné dans le cadre de son utilisation pour le webmail gratuit de Google.

C'est décidément la loi des séries. Après Yahoo! Mail et récemment Windows Live Hotmail, c'est au tour du système Captcha d'un autre webmail de renom d'être piraté. La victime du jour est en effet Gmail comme le rapporte la société de sécurité Websense.

GMailAvant de pouvoir ouvrir un compte Gmail, l'utilisateur doit passer par une étape préalable qui consiste à élucider un Captcha, typiquement une image contenant des caractères que seul un humain est à priori apte à identifier. Cette mesure de sécurité inspirée du test de Turing, évite ainsi que des spammeurs ne se constituent rapidement et de façon automatisée une petite base de données d'adresses mail afin d'accomplir leur basse besogne.

Si le Captcha n'est pas infaillible, celui de Gmail a la réputation d'être l'un des plus robustes. Une réputation désormais légèrement en berne même si cela a été au prix d'une technique de contournement sophistiquée. Là où un seul hôte compromis a suffi pour craquer le Captcha de Windows Live Hotmail, il aura fallu la combinaison de deux hôtes pour pirater celui de Gmail, chacun usant d'une technique d'analyse légèrement différente.

Certes, le taux de réussite des efforts combinés des deux bots est assez faible, et s'il faut tenter de créer 5 comptes Gmail pour parvenir à en valider un, cela suffit toutefois largement pour générer de façon automatisée des milliers de comptes Gmail, dédiés à des fins de spam. Les possibilités de spam sont par ailleurs démultipliées, un compte Gmail donnant accès à une multitude de services estampillés Google.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #198027
Dites vous allez arrêter d'utiliser le mot "pirate" à n'importe quelle sauce un jour?
Ca en devient ridicule...

Sinon concernant la news, le système Captcha visuel comme on le connait va bientôt disparaitre, mais il faut trouver quelque chose d'autre, qui soit en même temps suffisamment accessible...
C'est pas simple!
Le #198034

seul un humain est à priori apte à identifier



Seul un humain _voyant_ est apte à identifier. Bon je crois que les captchas google sont accompagnées d'un fichier audio pour ceux qui ne les verraient pas. Du coup ça limite le risque qu'un humain ne puisse pas passer le test.

Pour répondre à Niluge_Kiwi, j'espère que ce système va effectivement disparaitre : qui n'est jamais tombé sur un site proposant une captcha absolument impossible à passer ?
Le #198036
Un trivial poursuite avec des questions "uniques" marcherait un temps.

sinon, un capatcha sous forme de petit film serait efficace aussi (lire un panneau dans une tempête).

Enusuite, les bots, même randomisés ont des parterns reconnaissable, et usitent souvent de la même ip.
Le #198039
Remplacer les lettres par exemple par des animaux.
5 animaux à nommer, à partir d'une liste de 26 possibles, et avec pour chaque animal, un grand nombre de représentations possibles.

Dans ces conditions, la probabilité de résoudre le captcha aléatoirement est aussi faible qu'avec des lettres, et par contre, beaucoup plus difficile à résoudre par un robot (si le robot se base sur des algorithmes de reconnaissance de caractères).
Le #198047
ou alors on peut demander de résoudre une équation différentielle avec second membre et à coéficients non constants.
Le #198049
Santos >nan, les "hackers" passeraient bien du temps mais ils auront la liste de l'intégralité des images au bout d'un temps...
Puis ca serait trop complexe pour certaines personnes n'ayant pas forcément la culture requise. La lecture reste au moins un fondement stable.

L'anti bot, l'enjeu depuis quelques années, et ca va continuer
Le #198061
Santos >Et quand t'as un internaute étrangé qui passe, il ne pourra pas s'inscrire au super site considéré comme "référence en la matière" à cause de son super captcha qui nécessite de connaitre les noms de tous les animaux de la ferme et de certains animaux rare .... super.

Le #198076
Pas d'animaux de la ferme ? zut alors..

Je suis heureux que ces hacks poussent les compagnies a faire mieux et offerir des services plus efficaces. (ce qui est important, surtout quand ca touche a ta securite).
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]