Re: Captcha accessible ?

From : ONOURRY@... , the 12th December 2008 17:36
  • 2008-12-12 17:36:38 — ONOURRY@... - Re: Captcha accessible ?

Bonjour, La question de l’accessibilité des CAPTCHA, mène, semble-t-il, à une impasse. J’ai effectué des recherches sur ce thème il y a quelques mois, et aucune solution satisfaisant parfaitement à la fois l’objectif du CAPTCHA, et les exigences d’accessibilité, n’a pu être trouvée. Allons même plus loin : le CAPTCHA parfait n’existe pas, accessibilité ou pas ! Et poussons le bouchon encore : même un CAPTCHA parfait ne résoudrait pas la question de la sécurité anti-spam… Pour comprendre, revenons à la définition du CAPTCHA, telle que traduite par Wikipedia : « test public de Turing complètement automatique ayant pour but de différencier les humains des ordinateurs » (article de Wikipedia en français : http://fr.wikipedia.org/wiki/CAPTCHA)  L’aspect « complètement automatique », nécessaire à une application gérant de grands volumes, pose un problème intrinsèque : tout ce qui est « inventé » (codé) par un ordinateur pourra toujours être décodé par un autre. Aucun système ne possède une avance et une supériorité telles sur les autres qu’il pourra générer une barrière infranchissable par d’autres systèmes. De plus on sait aujourd’hui mobiliser la puissance de calculs de milliers d’ordinateurs à travers des réseaux, pour un coût relativement faible, il est donc illusoire de compter sur la course à la puissance pour contrecarrer un attaquant déterminé. Et quand bien même : un CAPTCHA doit être soluble par un humain (ce qui n’est pas le cas de tous), donc une attaque mobilisant une main d’œuvre humaine saura contourner aisément la barrière la plus haute qui soit pour un ordinateur. Là encore les réseaux tels qu’Internet permettent ceci à un coût faible, y compris à l’insu parfois des participants. Donc ne nous y trompons pas : un CAPTCHA ne garantit pas la sécurité ; il augmente simplement le coût d’accès aux données ou services que l’on souhaite protéger. Si ce coût reste inférieur à la valeur des éléments protégés, alors le piratage ou le détournement aura lieu. Là est en fait la clé : faire en sorte que le coût de l’attaque soit dissuasif. C’est pourquoi une question statique suffit à protéger un site de faible trafic : la valeur du résultat est trop faible pour intéresser un attaquant (sans vouloir être blessant pour personne ! ;o)). En revanche les CAPTCHA de Google et Yahoo, pourtant élaborés, ont été cassés à grande échelle en cours d’année 2008.   Du point de vue accessibilité, le moins mauvais des captcha reste, a priori, la question logique, évidente pour un humain, mais moins pour un ordinateur : « combien de pattes a un cheval », ou « Quand a eu lieu la bataille de Marignan ». Là encore il faut cependant un bémol, car différents problèmes d’accessibilité peuvent se poser : -          recours à des références culturelles et/ou linguistiques (Marignan, c’est simple pour toute personne ayant été à l’école primaire en France, mais quid d’un Québécois, par exemple ? Ou d’un Japonais, même surdiplômé ?) -          recours à des notions sensorielles (par exemple « quelle est la couleur d’un panneau stop »… quid d’un non-voyant qui n’a qu’une connaissance théorique des couleurs ?) -          questions ambigües, ou avec des réponses éventuellement multiples : par ex, « qu’est-ce qu’un cheval ? » (animal ? mammifère ?) -          risque lié aux erreurs de frappe et fautes d’orthographe (« éléfant » au lieu d’  « éléphant »…)   Du point de vue de la sécurité, outre que c’est difficile voire impossible à réellement automatiser, il faut aussi se prémunir du risque de déduction simple à partir de la question. Exemple de questions « crackables » : xième lettre d’un mot, réponse type oui/non, formule de calcul simple… les scripts capables de résoudre ces problèmes étant à la portée d’un programmeur moyen.   Pour une très bonne analyse de ce sujet : lire cet article de Joe Dolson : http://www.joedolson.com/articles/2008/06/spam-vs-accessibility/   Cordialement,   Olivier Nourry Responsable Offre Accessibilité Tél. : +33 1 42 47 43 79 Fax : +33 1 42 47 40 00 onourry@micropole-univers.com   ------------------------------------- MICROPOLE UNIVERS Spécialiste Décisionnel, e-Business & CRM 100 rue La Fayette - 75010 Paris – France www.micropole-univers.com           -----Message d'origine----- De : accesstech-owner@... [mailto:accesstech-owner@...] De la part de Sébastien CRESPIN Envoyé : jeudi 11 décembre 2008 17:54 À : accesstech@... Objet : Re: [accesstech] Captcha accessible ?   Bonjour,   Clairement non, un captcha se basant sur la reconnaissance de caractères  flous et/ou tordus et/ou barrés etc., le tout sous forme d'*image* n'est  pas accessible.   C'est déjà dûr pour moi qui suis correctement voyant, je me trompe  souvent car certaines lettres sont ambiguës, alors pensez donc aux  personnes mal ou non voyantes !   A mon avis, le meilleur captcha est une question texte en langage  naturel, du style "combien font 4 plus 3" ou "quelle est la 3ème lettre  du mot maison". Avec une question pas trop compliquée pour rester  accessible aux personnes ayant des déficiences cognitives.   Le problème est ensuite que sur un site à forte audience, on ne peut pas  se contenter d'un tel captcha statique, il le faut dynamique, avec des  questions différentes générées à chaque fois. Je sais que ça existe,  mais je n'ai plus les liens sous la main, mais je pense qu'on retrouve  cela facilement avec Google.   Personnellement, sur les quelques sites à faible audience dont je  m'occupe, un tel captcha statique (une seule et même question depuis 2  ans) a supprimé tout spam.   A+ Sébastien   Le 11.12.2008 17:07, djdmsr a écrit :
 Bonjour
 
 La célèbre Captcha "reCaptcha" ne répond pas aux critères d'accessibilité?
 
 http://recaptcha.net/
 
 je suis pourtant en train de l'installer! Pensant que c'est la meilleure 
 solution. Je me trompe?
 
 Le 11 déc. 08 à 06:57, Bruno Douville a écrit :
 
 Bonjour,
 Nous sommes tous ennuyés sur nos sites par le spam qui est fait sur 
 les formulaires en ligne. Comment juguler ce flux ? La gêne est réelle.
 La tendance consiste à mettre en place des captchas : 
 http://fr.wikipedia.org/wiki/Captcha
 Mais il est clair que les captchas visuels ou audios ne répondent pas 
 aux critères d'accessibilité.
 Resterait le captcha de type question simple : "Combien font 3 plus 7" ?
 
 Connaissez vous un dispositif qui limite le spam sur les formulaires 
 sans gêne pour les internautes ?
 Merci de votre avis sur le sujet.
 -- 
       Pour le respect de l'environnement, n'imprimez ce 
 courrier que si c'est nécessaire.
   /Si tu veux aller vite pars seul et si tu veux aller loin pars avec 
 d’autres. Proverbe Africain/
 
         
 
 *Bruno Douville * : Bruno.Douville@ac-rouen.fr
 _Cellule web - Mission Tice_ : http://www.ac-rouen.fr
 Rectorat de Rouen
 25 rue de Fontenelle 76037 Rouen Cedex 01
 Tél :02.32.08.93.14
 
 
 
_____________________________________