Encore un bon exemple que l'économie du cybercrime sait s'adapter et tirer bénéfice de la globalisation de l'économie. Certains diront qu'ils sont même en avance dans le domaine.
Le test de CAPTCHA qui sert à distinguer de manière automatisée un humain d'un ordinateur est très utilisé par les fournisseurs de webmails pour empêcher l'ouverture automatisée de dizaines de comptes, qui seront ensuite détournés par des spammers. De la même manière, si vous souhaitez poster un commentaire à cette note, vous devrez passer un tel test.
Au vu de la complexité de certains CAPTCHA, on pourrait croire que ce mécanisme est très efficace : Même si cela a permis de limiter de façon certaine les abus, les attaquants se sont adaptés graduellement via une sous-traitance plus ou moins directe/affichée :
- Résolution d'un CAPTCHA avant d'accéder à des contenus "de charme", ...
- Utilisation d'un réseau de zombies (botnet) en détournement les navigateurs web afin de solliciter périodiquement l'utilisateur afin qu'il puisse continuer à surfer...
- ....
Ces solutions ont en commun qu'elles ne garantissent aucun niveau de service : C'est le mode "Best Effort"... Bien pour un petit business ponctuel mais inadapté dans le contexte du "crime industriel" ou à grande échelle.
L'offshoring n'est pas réservé aux grandes sociétés ou à des activités spécifiques : Il est possible de sous-traiter la résolution de CAPTCHA à des coûts extrêmement bas...
L'offshoring de la résolution de CAPTCHA a donc naturellement vu le jour... Le prix ? Deux dollars (2$) pour 1000 CAPTCHA : Les prix sont affichés, les engagements et les moyens aussi. Tout cela se passe en Inde sous le couvert d'aider les personnes ayant des difficultés des problèmes de vision. Excellent...
Le coté positif : C'est que cela semble être une activité légale (cela reste de la saisie de données...) et que les personnes qui effectuent ce travail gagnent mieux leur vie que pour une autre activité de saisie plus classique... Dans quel monde vivons-nous ? Il y a de quoi se poser des questions...
Je vous laisser le plaisir de découvrir le très bon article de Dancho Danchev intitulé "Inside India's CAPTCHA solving economy, August 29, 2008".
Pour finir, je me rappele de clients entreprises ayant des formulaires web du genre "Contactez-nous" qui étaient utilisés à des fins de harcèlement : La mise en place d'un système de CAPTCHA a promptement réglé le problème. Des toolkits en PHP ou ASP sont disponibles en téléchargement gratuit sur le web.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens