L’attaque Man-in-the-middle par la pratique !
Le courriel non sollicité, tout le monde connaît (malheureusement). Jusqu’à présent je n’avais jamais eu de soucis de traitement, mais je commence sérieusement à douter de la fiabilité des antispams, quels qu’ils soient.
Au fil des ans, à force de voir des millions de messages plus ou moins bien filtrés et des antispams et des antivirus de toutes sortes qui tentaient plus ou moins bien de les filtrer, je me disais qu’il faudrait bien un jour faire un billet sur ce sujet. Et je profite d’un article récent de Marc Olanié sur les captchas pour relancer le sujet.
Les botnets
Je ne reviendrai pas sur ce phénomène, sachez seulement que ça n’arrête pas, on n’en finit pas de découvrir des botnets de centaines de milliers de PC infectés oet sous contrôle. Sid vient d’en parler, le nouveau botnet Kraken semble contrôler 600 000 ordinateurs…et serait capable d’envoyer 100 milliards de spams par jour ! chiffres cependant sujets à polémique, comme Cédric le mentionne !
Cela étant, contrôler demi-millions d’ordinateurs ne suffit pas, il faut également s’en servir… Par exemple pour envoyer du spam. Mais mieux encore, cela peut servir à créer des nouveaux comptes sur Microsoft Live Mail ou sur Google Gmail, par centaines de milliers ; ces comptes serviront ensuite à envoyer des spams.
Les fournisseurs de comptes emails gratuits ont depuis longtemps saisi la nature du problème, et ont alors introduit des captchas à résoudre lors de l’inscription.
Les captchas, et comment les contourner…
Les captchas, ces petites images qui contiennent des chiffres et des lettres souvent difficiles à lire que l’on doit retaper pour pouvoir s’inscrire, ont été imaginées pour faire face au fléau des spammeurs qui créaient des milliers de comptes email chez des hébergeurs gratuits pour envoyer leurs cochonneries, puis qui ont continué en postant leurs liens illicites par millions sur les blogs d’internautes. Les captchas permettent en effet d’identifier à coup sûr qu’un humain est derrière le clavier et qu’il ne s’agit pas d’un robot. Seulement voilà… comme cela ne plaisait pas aux spammers, ils ont rapidement trouvé des parades, qui valent ce qu’elles valent mais qui démontrent la ténacité de ces personnes :
Payés une misère à résoudre des captchas !
Voici pour les incrédules le lien vers l’annonce en question. Et puisque tout n’est pas accessible en permanence sur la toile, je vous ai recopié la petite annnonce… Ca laisse songeur !
WANTED VIRTUAL DATA ENTRY OPERATORS
Expire On: June 29, 2008 08:22AM
Advertisement Details
| Ads Classification | : | Available Jobs |
| Type | : | Work at Home |
| Experience | : | Fresh |
| Job Title | : | DATA ENTRY |
| Salary | : | $100 |
| Education | : | College |
| Location | : | Metro Manila – Malabon City |
| Address | : | philippines |
Description
We are looking for 100 data entry operators who are willng to work at home.
Requirements:
Computer with fast internet connection
Can type a minimum of 65WPM
Can work 12 hours a day
Male or female
Must have a registered paypal account (for payment)
Can follow instructions
Responsible
Please submit your resume if you « only » meet the following qualifications. we need a hard worker, patient and reliable individual who are willing to work at home. Willing to be paid $1 for 1000 captcha codes.
The task is very simple you will enter captcha codes 9 max, 5 minimum then hit enter key.
You are given a platform in order to monitor your work each day and your progress.
Note: Serious applicant only. Thank you!
Email at jonathan_aglebio@yahoo.com
Automatic Keywords: captcha data entry, captcha entry work, best paying sites for typing captcha, captcha entry, data entry work at home, virtual data entry, data entry work, typing work from home, www .captcha data entry.com, data entry work from home,
Tags: data entry, work at home, fast typing, home job, captcha data entry, data encoder
Comme on le voit clairement, ce n’est pas du travail à domicile mais de l’exploitation pure et simple : 1$ pour 1000 captchas résolus, 12 heures de boulot par jour, 65 mots par minute, ce sont des conditions plutôt limites… Et le pire c’est que cela fonctionne , la preuve étant qu’il y a même des sites d’enchères pour ces annonces et des « équipes » de 50 personnes travaillant 24/7 dont certaines sont prêtes à résoudre de 20 000 captchas par jour à 5 fois plus… incroyable.
Carrément pas payés à résoudre des captchas !
Encore plus rentable : l’utilisation de personnes bénévoles pour saisir les captchas est également possible ! Pour preuve, depuis quelques années il semble y avoir une astuce simplissime : les attaquants créent un site pornographique gratuit qui nécessite néanmoins que l’internaute alléché résolve un captcha. Ce dernier (et l’utilisateur ne le sait pas) ne provient pas du site pour adulte visité, mais est recopié d’un site légitime. En saisissant la réponse à la place du spammer, l’internaute donne l’accès au site légitime sans le savoir… astucieux mais pas trop rapide (à moins que le site pornographique ne devienne « populaire »).
D’ailleurs pour illustrer cela, en octobre dernier TrendMicro révélait l’existence d’un cheval de troie sous la forme d’un jeu de strip-tease, mais dont la fonction était de demander à l’utilisateur naïf de résoudre des captchas provenant d’ailleurs… A quand les freewares de « test de QI » ou de « sudoku » qui proposent des tests de captchas parmi le reste ?!
Toutes ces techniques sont bel et bien exploitées par les spammers, comme le prouve la suite :
En février, Websense a publié un article sur le cassage semi-automatisé des captchas de Microsoft Live. Le robot du spammer s’inscrit normalement sur le site de Microsoft Live Mail pour créer un compte. Dès que l’image du captcha s’affiche, elle est envoyé automatiquement à un service de cassage de captchas (voir ci dessous). La réponse est renvoyée au robot qui poursuit alors l’inscription avec succès. Et on recommence des milliers de fois.
Juste après cela, Websense a également détaillé le même phénomène pour les comptes Google Gmail, qui est encore plus sophistiqué puisque le robot d’attaque envoie le captcha à résoudre à non plus un mais deux systèmes servant à résoudre le captcha via des humains interposés.
Après tout ce que je viens d’exposer, comment voulez-vous que l’on reste optimiste quant à l’enrayement du fléau ? !!!! On va finir par devoir embaucher des personnes pour trier tout cela à la main… Une équipe pour filtrer les zéros d’un côté et une autre équipe pour filtrer les un de l’autre ! Ah, si la RFC 3514 pouvait être mise en pratique, qu’est ce qu’on serait tranquilles !
Bruno Kerouanton on mai 7th 2008 in IT Security
Sid responded on 07 mai 2008 at 12:59 #
De toute manière, quand on voit la cadence à laquelle ces robots essaient de s’enregistrer sur les sites, même un taux de résolution faible (genre 10%) donne des résultats très intéressants en terme de quantité d’accès obtenus.
Comme quoi, parfois, la taille compte…
Bruno Kerouanton responded on 07 mai 2008 at 13:34 #
c’est exact. En fait notre gros handicap est également lié à la fracture économique entre les pays en voie de développement et nos pays… Seuls des pays comme le Bengladesh, l’Indonésie ou d’autres lieux similaires peuvent fournir la main d’oeuvre nécessaire pour ce type de travail indigne. C’est le revers de la mondialisation…
Cela me fait penser au dilemne du OLPC, l’ordinateur à 100$ proposé aux habitants des pays en voie de développement, et justement susceptibles par effet indirect d’augmenter encore le nombre de spams et de cochonneries sur le web.
iti responded on 07 mai 2008 at 14:24 #
Une partie de Captcha cache ?
Imaginons un instant que certains groupes mal intentionnés aient besoin, pour alimenter leurs machines à Spam, de passer outre un système de captcha des plus classiques, du style suite de chiffres et de lettres légèrement caviardés, le tout en format image. Autant profiter de la main d’œuvre humaine bénévole pour remplir correctement ces champs, qui alimenteront les automates des réseaux de spam. Bien, mais interrogeons-nous sur comment pousser un humain, ou plutôt une masse importante d’humains, à faire ce travail ?
Il suffit d’un lien, éventuellement envoyé par mail ou sur une page Web astucieusement défacée. Le visiteur est incité à participer à un petit jeu en flash (ou autre) qui, pour l’attirer, offre un premier niveau gratuit. Le passage au second niveau est conditionné à la saisie d’un code de Captcha, dont l’image a été capturée sur un site cible, et dont le résultat sera renvoyé au champ de saisie de ce même site cible. Plus le nombre de visiteurs-joueurs sera important et plus le jeu sera addictif, plus le piège fonctionnera. Ce concept est déjà débattu plus haut, et traité sur certains blogs. Merci Marc.
Une autre astuce consisterait à faire payer du téléchargement d’images ou de logiciels piratés par un certain nombre de codes de Captcha a saisir, là où certains groupes se faisaient déjà payer en PO (pièces d’or) virtuels, dans un des mondes de WoW (World Of Warcraft).
Il y a une place de commercial à pourvoir au RBN ?
Fred responded on 07 mai 2008 at 19:20 #
J’avais lu que La Poste utilisait un système de réseau de neurones pour reconnaître les adresses manuscrites sur les lettres. En quoi pour une suite de lettres et de chiffres ça ne marcherait pas ? Même si les caractères sont déformés, donc que le taux de réussite est faible, on doit assez rapidement réussir à résoudre un paquet de captcha.
Parce qu’à mon avis une grande majorité des captcha actuels ne sont rien de plus qu’une série de caractères à recopier. Donc si quelqu’un à une explication je suis preneur
iti responded on 08 mai 2008 at 14:10 #
@fred: presque qu’une suite de chiffres et lettres…..
$
la dernière connerie à la mode, celle avec les petits chats cachés derrière les lettres « molles » est pire que tout; tellement modifiées visuellement que les lettres cachant un chat sont illisibles et conduisent rapidement à des erreurs d’identification, même pour le moins déficient visuel d’entre nous…..
Y’a quand même des limites à la cyber-connerie, non ?
iti responded on 23 mai 2008 at 13:41 #
Juste pour relancer les débats (j’espère…), le site de l’Avert Labs de Mc Aff publie de nombreuses infos techniques sur les Captchas en ce moment.
Et puis mes yeux vont mieux (ou alors je m’habitue) mais j’ai amélioré mon score aux Captchas à Ptits Chats….
Bruno Kerouanton » Escalade malsaine responded on 23 mai 2008 at 14:12 #
[...] comportements humains sur l’ensemble du système, et de manière réaliste (embaucheront-ils des esclaves d’Indonésie ou du Bengladesh [...]
Bruno Kerouanton responded on 23 mai 2008 at 14:17 #
@iti : Je n’avais pas entendu parler de ces histoires félines, mais je viens de me rendre à l’évidence : C’est totalement infaisable, il ne s’agit même pas de lire les caractères mais de savoir si c’est un chien ou un chat qui est dessiné dessus… ! c’est sur, les robots ne sauront pas faire, même les humains n’y arrivent pas !!!
Tiens, le lien ici pour vous en persuader.