• Une équipe de chercheurs de l’UC Irvine a publié une étude suggérant que le service reCAPTCHA de Google n’est pas une solution de sécurité efficace.
  • L’étude souligne également que ces tests engendrent des coûts considérables, tant en termes de travail humain que d’impact environnemental, et pourraient être utilisés pour collecter des données utilisateur.
  • En réponse à ces accusations, Google a affirmé qu’il ne vend pas les données des utilisateurs à des tiers et que reCAPTCHA v3, principalement utilisé par les sites web, est plus sécurisé que reCAPTCHA v2.

La sécurité du reCAPTCHA de Google remise en question : exploitation potentielle des utilisateurs

Le service reCAPTCHA de Google pourrait être en train de collecter secrètement des informations sur les utilisateurs, au prix d’un travail humain évalué à des milliards.

Nous avons tous été confrontés au service reCAPTCHA. Il nous propose un petit casse-tête à résoudre et utilise notre réponse pour faire la distinction entre les humains et les robots. L’objectif de ces tests est de prévenir la fraude et les cybercrimes.

Cependant, les chercheurs de l’UC Irvine ont une vision différente. Andrew Searles, Renascence Tarafder Prapty et Gene Tsudik ont collaboré pour rédiger un article intitulé « Dazed & Confused: A Large-Scale Real-World User Study of reCAPTCHAv2. »

Cette recherche a été menée sur une période de 13 mois à partir de 2022. Au total, 9 141 sessions de reCAPTCHAv2 ont été suivies et analysées, en plus d’une enquête complétée par 108 participants.

Les répondants à l’enquête ont évalué le casse-tête de la case à cocher à 78,51 sur 100 sur l’échelle de « Système d’Utilisabilité », tandis que le test de sélection d’images n’a obtenu que 58,90. En d’autres termes, les utilisateurs trouvent ces tests peu pratiques.

Quelles sont les conclusions de l’étude ?

L’article soutient que ces tests devraient être abandonnés car ils constituent un gaspillage de temps et de ressources et sont vulnérables aux bots, ce qui contredit leur objectif initial.

  • Au cours des 13 années d’utilisation, les utilisateurs ont dépensé plus de 819 millions d’heures à passer ces tests, ce qui équivaut à au moins 6,1 milliards de dollars en salaires.
  • Ce n’est pas le seul coût associé à ces tests. Le trafic généré par reCAPTCHA consomme 134 pétaoctets de bande passante, soit 7,5 millions de kWh d’énergie, ce qui correspond à 7,5 millions de livres de CO2.

Alors que le monde supportait ces coûts, Google continuait de réaliser des bénéfices. Environ 888 milliards de dollars provenant des cookies générés par les sessions reCAPTCHA et un montant supplémentaire de 8,75 à 32,3 milliards de dollars pour la vente de leur ensemble de données étiquetées.

Peut-être pourrions-nous ignorer tout cela si seulement les tests remplissaient leur fonction. Mais il semble que ce ne soit pas le cas.

Ils ne sont pas aussi sécurisés qu’ils le prétendent.

  • L’article fait référence à une expérience de 2016 au cours de laquelle un groupe de chercheurs a réussi à contourner les défis d’images de reCAPTCHA v2 70 % du temps.
  • Le défi de la case à cocher de reCAPTCHA était encore plus vulnérable, pouvant être contourné 100 % du temps.
  • La version la plus récente, reCAPTCHA v3, n’est pas meilleure. En 2019, un autre groupe de chercheurs a conçu une attaque par apprentissage par renforcement capable de contourner les défis basés sur le comportement de reCAPTCHA v3 97 % du temps.

Le plus inquiétant est que ces systèmes ont été contournés avant même leur introduction publique, mais sont toujours utilisés par Google. Prenons par exemple les problèmes de sélection d’images. Ils ont été contournés par des ordinateurs en 2009, mais utilisés par Google en 2014.

En fin de compte, il semble que tous les efforts et ressources investis dans ces tests soient inutiles.

Ce qui intrigue les chercheurs, c’est que s’il existe des preuves que ces tests ne sont pas efficaces, alors pourquoi Google continue-t-il de les utiliser? La seule réponse possible à cela est l’acquisition de données d’étiquetage d’images, qui sont les résultats des utilisateurs identifiant des images CAPTCHA que Google vend comme service cloud.

Google a publié une déclaration en réponse à ces allégations, affirmant qu’il ne suit les données des utilisateurs que pour améliorer la qualité globale de l’expérience utilisateur, et non pour les vendre. De plus, la plupart des sites web ont migré vers reCAPTCHA v3, qui est plus sécurisé que reCAPTCHA v2.

Tags:
Shares: