Dans la peau d’un casseur de CAPTCHA professionnel

Tribune : Employés par des « fermes à clics », des centaines de travailleurs peu payés sont mis à contribution pour résoudre des CAPTCHA et ainsi permettre aux criminels de poursuivre leur activité, explique Dan Woods, de F5.

« Il n’y a pas de sots métiers », dit-on. Et cela, manifestement, est vrai aussi dans le monde de la cybercriminalité. Alors qu’une majorité de sites web met en place des mesures afin contrer les « bots », ces programmes automatisés chargés de se faire passer pour un humain, les criminels s’adaptent sans cesse. Puisque le CAPTCHA est par définition largement plus simple à résoudre par un humain que par une machine, pourquoi ne pas utiliser… des humains ?

Employés par des « fermes à clics », des centaines de travailleurs peu payés sont ainsi mis à contribution pour résoudre des CAPTCHA et ainsi permettre aux criminels de poursuivre leur activité. Plongée dans la peau d’un casseur de CAPTCHA….

Petit rappel. CAPTCHA est l’acronyme de « Completely Automated Public Turing test to tell Computers and Humans Apart », ou « Test de Turing public totalement automatisé afin de distinguer les humains des ordinateurs ».
Les CAPTCHA ont été mis en œuvre pour la première fois à la fin des années 1990 en tant que test de Turing inversé rudimentaire pour aider les sites Web à filtrer les volumes croissants de trafic issu de robots non souhaités.

Résolveurs de CAPTCHA

Les CAPTCHA ont constitué une bonne défense contre les attaques automatisées lorsqu’ils ont été introduits il y a près de vingt ans. Ils représentaient alors un obstacle que les premières générations de robots ne pouvaient pas facilement surmonter. Cependant, ces derniers ont évolué et ont commencé à résoudre les CAPTCHA, et afin de résister, ces derniers sont devenus encore plus complexes… et donc difficiles à résoudre même pour les humains !

Aujourd’hui, bien qu’il existe de nombreuses méthodes automatiques sophistiquées pour tenter de résoudre les CAPTCHA, la bonne vieille méthode humaine de la « ferme à clics » reste la plus accessible et la plus populaire.

Un tel service fonctionne essentiellement à l’aide de travailleurs qui résolvent les CAPTCHA à la chaîne, toute la journée, et des « clients » qui achètent leur production pour conserver un accès automatique à des sites protégés par des CAPTCHA (souvent pour des activités criminelles ou immorales, comme acheter rapidement tous les billets d’un concert dès leur mise en vente afin de les revendre ensuite plus cher sur un site de petites annonces).

Les mécanismes d’utilisation des résolveurs

Comment ce processus fonctionne-t-il réellement ? Les étapes ci-dessous décrivent une attaque automatisée s’appuyant sur un travail humain à la chaîne afin de casser efficacement tout type de CAPTCHA.

Dans la plupart des cas, un attaquant sérieux effectuera à l’avance une reconnaissance du site cible, au cours de laquelle le type exact du CAPTCHA mis en œuvre sur le site sera identifié.

Une fois qu’un compte est créé et configuré, dans ce cas avec 2Captcha, le processus général est le suivant (et en temps réel) :

  1. Un attaquant utilisant un bot se connecte à un site Web qui présente un CAPTCHA.
  2. Le robot capture une image du CAPTCHA et l’envoie à 2Captcha via l’API de ce dernier.
  3. 2Captcha envoie l’image à un ou plusieurs humains pour qu’ils la résolvent.
  4. 2Captcha renvoie le CAPTCHA résolu au robot via l’API.
  5. Le robot soumet le CAPTCHA correctement résolu au site web.
  6. Le site Web considère à tort que le robot est humain et l’autorise à poursuivre.

Pour les reCAPTCHAs (le système de CAPTCHA proposé par Google), le processus de contournement du CAPTCHA est légèrement différent :

  1. Le robot malveillant utilise l’API de 2 Captcha pour demander à l’un des travailleurs humains de visiter le site Web cible et de cocher manuellement la case « Je ne suis pas un robot » pour résoudre le CAPTCHA.
  2. Le travailleur humain obtient un jeton pour le CAPTCHA résolu (parce qu’il est humain).
  3. 2Captcha transmet le jeton au robot via l’API.
  4. Le robot soumet le jeton valide au site Web cible.
  5. Le site Web considère à tort que le robot est humain et l’autorise à poursuivre.

Toutes ces étapes peuvent être réalisées par le biais d’un proxy, de sorte que le processus est totalement transparent pour le site Web.

Il est clair que les services de résolution de CAPTCHA ont permis aux attaquants de contourner complètement les CAPTCHA, y compris la dernière version de Google appelée CAPTCHA Enterprise.

Business modèle et légalité

À bien des égards, les services de résolution de CAPTCHA fonctionnent comme n’importe quelle entreprise légitime, et leur but est clairement de faire des bénéfices. Bien que les frais qu’ils facturent à leurs « clients » (les attaquants finaux) puissent être considérés comme raisonnables, le modèle économique est rentable pour ces organisations et fortement défavorable aux travailleurs dans les fermes clics. En effet, ces derniers sont très peu rémunérés, et avec des frais de fonctionnement relativement faibles, la marge pour les organisateurs est certainement très élevée.

Et qu’en est-il de la légalité de cette offre ? N’est-ce pas illégal d’aider des cybercriminels à contourner des protections en ligne ? Pas vraiment. Résoudre un CAPTCHA ne revient pas à pirater un serveur ou prendre le contrôle d’un compte. Cela peut constituer une violation des conditions d’utilisation d’un site et permettre ensuite un acte criminel (par exemple, le bourrage d’identifiants), mais l’utilisateur du service est l’auteur de l’acte, tandis que le service lui-même peut prétendre ignorer les intentions de ses clients.

Combien coûte le service ?

2Captcha facture les clients à des tarifs différents en fonction du type de CAPTCHAs résolus. Les CAPTCHAs traditionnels coûtent aux clients 0,75 $ par lot de mille. En comparaison, les reCAPTCHAs coûtent 2,99 $ par 1 000, soit près de quatre fois plus que les CAPTCHAs traditionnels.

Devenir un résolveur humain de CAPTCHA

Devenir un solveur humain de CAPTCHA est extrêmement simple ! Il suffit de créer un compte en tant que solutionneur en fournissant simplement une adresse email (c’est pareil pour devenir client). Le site Web possède une interface très conviviale et intuitive, avec des instructions pas-à-pas, des didacticiels et même des conseils pour résoudre les CAPTCHA.

Le travail de résolution des CAPTCHA

Au quotidien, le travail de résolution des CAPTCHA est fastidieux, comme l’on peut s’y attendre. On peut résoudre 22 CAPTCHAs et seulement gagner 0,006 65 $ US…

Au fur et à mesure que les travailleurs résolvent des CAPTCHAs et deviennent plus compétents, ils reçoivent de petites augmentations de salaire. Car le taux de rémunération n’est pas uniquement basé sur le nombre total de CAPTCHAs résolus, mais aussi sur la cadence du travailleur. Ceux qui se révèlent trop lents ou qui fournissent trop de réponses incorrectes courent même le risque d’être expulsés du système.

Le salaire du résolveur

La rémunération de 2Captcha pour les résolveurs, en avril 2021, était de 0,30 $ US pour 1 000 CAPTCHAs traditionnels et de 1,01 $ US pour 1 000 ReCAPTCHAs.

À ces taux, les résolveurs travaillant 11 heures par jour sans interruption – ce qui est totalement irréaliste – ne gagneraient que 1,20 $ par jour pour les CAPTCHAs traditionnels. Pour les reCAPTCHAs, qui prennent environ deux fois plus de temps à résoudre, les résolveurs ne gagneraient toujours que 2,02 $ en travaillant 11 heures par jour.

Et lorsque vient le moment de toucher le fruit de son travail, le résolveur a un large choix de services pour recevoir un paiement de la part de 2Captcha (WebMoney, Perfect Money, Bitcoin…).

2Captcha ne lésine pas sur l’assistance

Cela surprendra peut-être, mais les services « louches » sont souvent connus pour fournir un excellent support client, et 2Captcha ne fait pas exception à la règle. En plus de l’interface conviviale et de l’abondance de supports de formation, il fournit des pages d’assistance et des FAQ pour les travailleurs et les clients. Il n’est d’ailleurs pas rare, dans le cadre d’autres services, que les cybercriminels offrent même une assistance téléphonique !

Voilà donc à quoi ressemble le travail quotidien d’un résolveur de CAPTCHA – et il s’agit d’une véritable source de revenus pour de nombreuses personnes dans le monde.

Ce type de services est largement utilisé par les attaquants, qui peuvent ensuite mener grâce à cela des opérations criminelles très rentables. En définitive, les CAPTCHA ne sont probablement efficaces que contre les criminels les moins outillés, mais ils ne feront que ralentir les attaquants les plus motivés… tout en introduisant des frictions considérables pour les clients légitimes.

Malgré cela, de nombreuses entreprises continuent de s’en servir. Certaines soumettent même leurs clients à un CAPTCHA pour chaque interaction importante (paiement en ligne, évidemment, mais aussi par exemple le changement de mot de passe ou d’adresse de livraison).

Cela frustre le plus souvent les utilisateurs sans offrir de barrière significative contre les cybercriminels et les économies parallèles qui les approvisionnent. D’autres approches (souvent basées sur le Big Data et l’analyse des comportements) doivent alors être considérées, parfois en complément des CAPTCHA, afin de s’assurer que tous ses visiteurs sont non seulement réellement humains… mais aussi légitimes.

Source : net.fr/actualites/

Catégories