Ghusse’s

Entrevue avec un des casseurs de captcha de Yahoo

Comme je vous l’avais signifié, j’ai envoyé un courriel aux auteurs du programme permettant de résoudre de manière automatique les captchas de Yahoo.

Ils m’ont répondu !

Leur réponse est quelque peu … évasive. Dans un soucis de ne pas dévoiler ni leur identité, ni le procédé utilisé, ni les problèmes du captcha Yahoo. En attendant plus de précisions sur leur blog il faudra se contenter de cette petite entrevue électronique.

Je vous propose une version “traduite” par mes soins un peu plus bas.

Version originale

1) Could you present your team and the amount of work represented by this performance ?

Our team consists of four peolpe. At the moment we cannot disclose our names. Members of our team are post graduates and one holds a doctorate degree. The presented program is not the only our research. Our field of interests also includes OS security, malware research, network security research. We’ve done a few projects in these areas, but we cannot share the details due to NDAs.
We’ve already had experience in machine learning, so it took only a few weeks to complete this task.

2) How did the idea of this work raise ? When did you started to work on it ?

The future of internet services security is relying on artificial intelligence and machine learning. So the idea was simple - to test modern CAPTCHA which was claimed to be one of the hardest. Our work has started at the end of 2007.

3) Could you present the main ideas of your approach to us ? What is different in your approach from classical ones ?

For now we cannot talk about our ideas because they can threaten the security of other online services. Maybe somewhen we’ll write about these ideas in our blog.

4) Could you present your results ?

Our results have already been presented in our blog. The program is available to download.
http://rapidshare.com/files/84243632/YahooCAPTCHARecognition.rar.html
Yahoo! must change their CAPTCHA. Until then spammers can use this program for bulk messaging.

5) What advice would you send to Yahoo about their submission forms, regarding your results ?

In December 2007 we’ve mailed to Yahoo! and suggested a few improvements which could be used right away. It’s a pity Yahoo! answered only at 17th of December after public disclosure of the program. Moreover, the answer was exactly the same as the answer to one of the online magazines.

6) Is there another challenge that you’ll tackle ?

There are many of them - stay tuned to http://network-security-research.blogspot.com .

BR,
Network Security Research

Version française

1) Pouvez vous présentez votre équipe et le travail réalisé par celle-ci ?

Notre équipe compte quatre personnes. Nous ne pouvons pas révéler nos noms pour le moment. Les membres de notre équipe sont étudiants en en troisième cycle, un d’entre nous est docteur diplômé. La résolution de captcha n’est pas la seule composante de nos recherches. Notre domaine de compétence couvre également la sécurité des systèmes d’exploitation, les logiciels malveillants et la sécurité des réseaux. Nous avons réalisé quelques projets dans ces domaines mais nous ne pouvons en révéler les détails (à cause d’un accord de non divulgation).

Nous avons acquis de l’expérience dans le domaine de l’apprentissage automatique, la réalisation de ce projet nous a donc prit quelques semaines.

2) Comment vous-est venue cette idée ? Quand avez-vous commencé à travailler sur le sujet ?

Le futur des services sur internet est étroitement lié à des problèmes d’intelligence artificielle et d’apprentissage automatique. L’idée était donc simple : tester les CAPTCHAS récents réputés pour être les plus difficiles à résoudre. Notre travail a commencé à la fin de l’année 2007.

3) Pouvez-vous présenter les idées principales de votre travail ? Comment votre approche se distingue-t-elle des approches classiques ?

Nous ne pouvons pas parler de notre approche pour le moment car elle mettrait en danger d’autres services sur internet. Peut-être décrirons-nous notre méthode sur notre blog à un moment.

4) Pouvez-vous nous présenter vos résultats ?

Nos résultats sont déjà présents sur notre blog et le programme est disponible au téléchargement.

Yahoo! doit changer leur CAPTCHA avant que les spammeurs puissent utiliser ce programme pour envoyer du spam.

5) Quel conseil donneriez-vous à yahoo à propos de leurs formulaire d’enregistrement au regard de vos résultats ?

En décembre 2007 nous avons contacté Yahoo! par mail en leur suggérant quelques améliorations qui auraient pu être mises en place aussitôt. Yahoo! ne nous a répondu que le 17 décembre après la publication de notre programme. De plus, leur réponse a été exactement la même que celle envoyée à un magazine en ligne.

6) Y-a t’il d’autres défis que vous voulez relever ?

Il y en a beaucoup, restez connecté sur http://network-security-research.blogspot.com

BR,
Network Security Research

Mots-clé : captcha, Sécurité, Web, yahoo

Les captchas ne sont pas une solution à long terme

L’actualité des captchas est bien remplie en ce moment, et elle vient une fois de plus confirmer mes dires. C’est cette fois ci korben qui a relayé l’information.

Des chercheurs russes disent avoir réussi à résoudre de manière automatique les captchas de Yahoo. Ces derniers sont réputés très difficiles à résoudre par nombre de personnes s’étant penché sur le sujet.

• PWNtcha : “ces captchas sont très bon, mais un humain ne peut pas toujours les résoudre”.
• lafdc : “très difficile”
• captcha.ru : difficulté de 3 étoiles

L’équipe russe a donc mis en échec des captchas réputés pour être parmi les plus difficiles à résoudre à l’heure actuelle. L’efficacité de l’algorithme est approximativement de 35%, ce qui pourrait paraitre faible au premier abord. Mais il ne faut pas oublier que les spammeurs disposent de robots et d’ordinateurs zombies qui font le travail pour eux.

Avoir un taux de réussite de 35% signifie que sur 100 tentatives de créations de compte, environ 35 seront des succès. Avec la force de frappe des spammeurs, ce sont plus de 100 000 tentatives par jour (et par spammeur) qui peuvent être réalisées. Cela signifie qu’un spammeur peut créer environ 35 000 comptes par jour, non négigeable.

Le code source illustrant leur exploit est théoriquement accessible, mais le serveur de partage limite pour le moment les téléchargements. De plus il demande un compilateur Matlab. Bref, je n’ai pas pu pour le moment vérifier les résultats annoncés.

J’ai contacté les auteurs de l’annonce, j’espère une réponse !

Mots-clé : captcha, Sécurité, Web, yahoo

Les captchas ne protègent pas contre le spam

Petite suite d’un billet intitulé les captchas : faible sécurité pour un coût important, suite à un commentaire de Tim.

Le blog O’Reilly radar a été submergé de spams il y a quelques temps. Cette attaque les a obligé à fermer ses commentaires le 24 janvier 2008 et à enquêter sur l’origine de leurs problèmes.

Le site O’Reilly radar utilise une protection à base de captchas pour empêcher l’écriture de commentaires non désirés. La solution choisie est — à mon goût — la meilleure solution de captchas actuellement disponible : reCaptcha. Ce service web propose un système de captcha complètement gratuit, efficace et utile puisqu’il permet la numérisation de livres.

Nous apprenons aujourd’hui la cause des soucis d’O'Reilly car les responsables du site web ont été contactés par l’équipe en charge de reCaptcha. En analysant les traces conservées sur leurs serveurs, les responsables de reCaptcha ont découvert que le spam était généré par des humains. Ils ont pour cela analysé toutes les résolutions de captcha tentées par les adresses des spammeurs. Ils ont découvert que ceux-ci se trompaient régulièrement en commentant des fautes de frappe assez reconnaissables.

Cela signifie qu’il existe des sociétés (en Turquie dans cet exemple) qui offrent un service délocalisé de résolution de captchas pour envoyer du contenu non désiré.

Je faisais justement remarquer dans mon précédent article que les captchas ne protègent pas contre le spam.

Une chose qu’on oublie souvent, c’est que les captchas sont une protection contre la soumission automatique de formulaires. Pas contre le spam.

Mots-clé : captcha, spam, Web

I hate (my) neighbours

Un petit billet en forme de dédicace à mes voisins du dessus qui ont un parquet et avec qui je partage tous les (petits) bruits du quotidien.

Ces photos datent des vacances de Noël, où je suis passé par la Bretagne et plus précisément Saint Cado où on trouve cette étrange maison au milieu de la rivière d’Étel.

Mots-clé : Bretagne, noir et blanc, Photo

Flickr dévoile les trésors du classeur de la Bibliothèque du Congrès

Ce sont de véritables trésors photographiques que Flickr s’est décidé à partager.

À l’image de Google qui a lancé un projet de numérisation de livres dans plusieurs bibliothèques, Flickr s’est associé avec la bibliothèque du Congrès (USA) pour mettre à notre disposition certaines de leurs archives.

J’ai été littéralement subjugué par la qualité de certains clichés, du travail avec la lumière. Certaines photographies sont plus que des témoignages, ce sont réellement des œuvres d’art.

Les photos présentes sur le site concernent pour le moment uniquement deux périodes de l’histoire : 1930-1940 (en couleur) et les années 1910.

Pour en voir plus :

• Le projet, sur flickr
• Les photos, sur flickr

Via bokeh.

Pandora de nouveau accessible

J’en parlais en fin d’année 2006, Pandora est un service de musique en ligne à l’instar de Deezer, Last.fm et d’autres. Cependant, je n’ai pas été autant emballé par ces derniers que par Pandora.

Pandora s’appuie sur une analyse fine des morceaux (en témoigne leur très intéressant podcast) pour proposer des musiques proches de celles que vous aimez. Là où les concurrent estiment que deux artistes “proches” sont des artistes qui ont interprété des morceaux classées en “Rock”, l’équipe de pandora analyse chaque morceau.

La chanson que j’écoute en ce moment est décrite par exemple de cette manière :

Based on what you’ve told us so far, we’re playing this track because it features electric rock instrumentation, a subtle use of vocal harmony, mild rythmic syncopation, repetitive phrasing and extensive vamping.

A partir de ces informations, le système me propose des morceaux qui comportent des similarités avec ceux que j’ai aimé. Ca marche vraiment bien.

Depuis quelques mois, pandora était inaccessible depuis l’extérieur des États-Unis. Le seul moyen de continuer à utiliser le service depuis la France était d’utiliser un proxy basé aux USA.

Désormais, on peut passer par www.globalpandora.com !

Via presse-citron.

Mots-clé : musique, pandora, Web

Les dérives possibles des licences Creative Commons

Les contrats Creative Commons ont été créés pour permettre de diffuser simplement des créations sous divers formats : texte, musique, photo, vidéo etc. D’ailleurs le contenu de ce blog est sous licence appelée BY-NC-ND, tout comme mes photos.

Placer ses créations sous cette licence signifie que vous en êtes l’auteur. Normalement toute utilisation, copie, distribution de ces œuvres est régi par le droit d’auteur. Il faut donc une autorisation de l’auteur pour pouvoir exploiter une œuvre (moyennant finance souvent). Le but de ce contrat est de permettre certaines utilisations, du moment qu’elles répondent à certaines conditions, sans qu’une permission de l’auteur ne soit nécessaire (ni donc de rétribution).

Placer ses œuvres sous licence By-NC-ND signifie par exemple que vous pouvez copier, distribuer et transmettre le fruit de mon travail sans autorisation écrite de ma part si vous respectez les contraintes suivantes.

• Vous devez m’identifier comme l’auteur de l’œuvre que vous partagez.
• L’usage que vous faites de l’œuvre doit-être non commercial.
• Vous ne devez pas tirer de travail dérivé de mon œuvre.

Si ces conditions ne sont pas respectées, vous devez avoir une autorisation écrite de l’auteur.

Un photographe américain nommé Dan Heller montre cependant que cette licence comporte des failles qui peuvent amener des dérives. La première semble plus attaché aux spécificités du droit américain du copyright, assez différent — il me semble — du droit français. J’aimerai toutefois bien avoir l’avis de quelqu’un de compétent sur le sujet.

Je trouve par contre intéressant le point que soulève Dan dans la deuxième partie de son article. En effet, le contrat de licence Creative Commons a cette particularité que l’auteur de l’œuvre peut retirer à tout moment la référence de cette licence sur la création, et donc retirer les droits attibués par le contrat CC.

Maintenant imaginons que je place une de mes œuvres en CC, vous utilisez une de mes œuvres — car elles sont géniales et gratuites — dans les termes de la licence. Je fais de la pub sur mes œuvres, et certains les utilisent. Puis, je retire mes œuvres des termes de la licence CC. Et là, vous vous retrouvez en train d’utiliser certaines de mes œuvres sans avoir d’autorisation de l’auteur. Je peux donc vous attaquer pour contrefaçon et tout.

Voilà ce que présente, avec passion, Dan Heller.

À méditer, à suivre, pour voir comment CC pourra se tirer de là.

Si des spécialistes du sujets pourraient apporter leurs lumières, concernant les spécificités du droit français…

Source : le monde informatique.

Mots-clé : Creative Commons, Photo

Le TGV plus rapide que la lumière

Vu au JT de France 2 ce soir, à propos de la possibilité d’accéder à internet dans le nouveau TGV Est. Les données son transmises par satellite : du train vers un satellite puis du satellite vers une station au sol et vice-versa.

Commentaire du journaliste : 73 000 kilomètres en moins d’un dixième de seconde.

Petit calcul vite-fait : ce sont des ondes radio qui transitent, donc tout ça va à la vitesse de la lumière qui est de 300 000 km par seconde soit approximativement 30 000 km en un dixième de seconde.

Ce qui fait que la SNCF a trouvé un moyen d’outrepasser les lois de la physique, puisque leur signal va plus de deux fois plus vite que la lumière !

Mots-clé : actualité, télévision

Paysage enneigé

Une dernière photo de la série “vacances au ski”, avec cette fois-ci une photo de paysage. Le soleil assez bas fait ressortir les reliefs et donne une autre dimension aux montagnes.

Et puis, il faut dire que les Alpes enneigées, c’est beau.

Mots-clé : paysage, Photo, Val Thorens

Ricoh GRD II

En fait c’est plutôt une photo de cet appareil que je voulais présenter à travers ce billet. Pendant les vacances à Val Thorens, herisson26 a apporté du travail : un Ricoh GRD II. En effet, Franck travaille pour lesnumeriques, au compte duquel il devait contribuer à un article sur cet appareil. Article qui sortira dès que l’auteur des tests de performance aura fini de mettre à mal la bestiole — Franck s’occupant de la partie prise en main.

Bref, pour illustrer son article on a voulu prendre des photos. Posé sur la table, l’appareil offrait un joli reflet dû non seulement au revêtement de la table, mais aussi à l’impressionnante lumière que crachait la baie vitrée dans mon dos — laquelle baie vitrée donnait directement sur les pistes de Val Thorens enneigées et ensoleillées.

Bref, le résultat est un joli cliché, qu’on croirait sorti d’une publicité pour le GRD II. Le matériel utilisé est pourtant très simple : une table, un mur blanc, une serviette pour cacher un bout du lit qui était dans le champ, et une grande baie vitrée sur un endroit très lumineux…

Mots-clé : appareil photo, Photo, Ricoh GRD II