Une avancée inquiétante pour la sécurité en ligne.
Les systèmes reCAPTCHA utilisés pour différencier les humains des robots en ligne sont sur le point d'affronter un nouvel adversaire redoutable : l'intelligence artificielle (IA). Des chercheurs de l’ETH Zurich ont développé un modèle d’IA, nommé YOLO (« You Only Look Once »), capable de résoudre ces tests avec une précision presque équivalente à celle des utilisateurs humains. Cette avancée marque une étape significative, mais aussi inquiétante, pour la sécurité informatique.
L'IA qui rivalise avec les humains
Les chercheurs ont entraîné le modèle YOLO pour reconnaître et catégoriser des éléments couramment présents dans les tests reCAPTCHA, tels que des véhicules, des feux de circulation ou d'autres objets du quotidien. Résultat ? L'IA a atteint un taux de réussite impressionnant de 100 % sur certains tests reCAPTCHA, surpassant largement les tentatives précédentes, qui plafonnaient à 68 à 71 %. Bien que YOLO ne réussisse pas systématiquement chaque test, son niveau de performance est suffisant pour qu’elle soit perçue comme une entité humaine.
Les reCAPTCHA, en particulier la version 2 (v2), sont couramment utilisés pour empêcher les robots d’accéder à des sites ou de remplir des formulaires automatisés. Contrairement aux CAPTCHA traditionnels, qui demandent souvent de lire et d’entrer des lettres déformées, les reCAPTCHA de Google se concentrent sur la reconnaissance d’images, un domaine dans lequel les IA se révèlent très performantes.
Les risques ?
L’efficacité de l'IA dans la résolution des reCAPTCHA pose un défi de taille pour la sécurité en ligne. De nombreux sites internet se reposent sur ces tests pour bloquer les tentatives d’accès automatisées par des bots malveillants, mais avec des IA comme YOLO, ces barrières deviennent plus faciles à contourner.
Les experts en sécurité estiment que les CAPTCHA devront évoluer et devenir plus complexes pour résister aux progrès des IA. Toutefois, cette approche risque d’accroître les problèmes d’accessibilité pour certains utilisateurs, notamment ceux souffrant de troubles visuels. Les utilisateurs malvoyants rencontrent déjà des difficultés avec les systèmes de reCAPTCHA actuels, et des tests encore plus complexes pourraient aggraver ce problème.
Quelles alternatives pour contrer l'IA ?
Pour répondre à cette menace croissante, plusieurs entreprises technologiques explorent des méthodes alternatives pour distinguer l'activité humaine des robots :
- Google utilise des technologies plus avancées comme les empreintes digitales des appareils. Ce système collecte des données matérielles et logicielles afin de créer un identifiant unique pour chaque appareil, ce qui permet de mieux détecter les comportements automatisés.
- Apple a introduit avec iOS 16 les jetons d’accès privés. Ces jetons permettent d'authentifier les utilisateurs sans recourir à des tests visuels comme les CAPTCHA, en offrant une meilleure protection contre les robots tout en garantissant la confidentialité des utilisateurs.
L'avenir des tests reCAPTCHA
Malgré les défis que pose l’IA pour les systèmes de sécurité, certains acteurs de l’industrie ne sont pas encore alarmés. Google Cloud, par exemple, a précisé que les tests reCAPTCHA v3, lancés en 2018, s’appuient davantage sur le suivi comportemental invisible, comme les mouvements du curseur, plutôt que sur des tests visuels que l’IA pourrait facilement contourner.
Un porte-parole de Google Cloud a déclaré : « Aujourd’hui, la majorité des protections de reCAPTCHA sur les 7 millions de sites dans le monde sont entièrement invisibles. » Cela signifie que de nombreux utilisateurs ne remarquent même pas la présence de ces systèmes, car ils fonctionnent en arrière-plan pour analyser des comportements et identifier les robots potentiels.