Un hacker brise le reCaptcha de Google grâce à un autre service de Google

By | March 2, 2017

Un hacker brise le reCaptcha de Google

L’exploit écrit en Python, permettrait aux attaquants de contourner les champs reCAPTCHA de Google.

Le reCAPTCHA est un système utilisé par des millions de sites Internet pour éloigner les spams bots. Cette technologie utilise notamment des tests logiques pour reconnaître les utilisateurs humains.

Un chercheur, connu sous le pseudo de East-EE, a découvert une vulnérabilité permettant de contourner les champs reCAPTCHA de Google en utilisant un autre service de Google, l’interface de programmation de reconnaissance vocale.
Son attaque, qu’il nomme rebreakCAPTCHA, ne fonctionne que sur la version actuelle du service de reCAPTCHA, Google reCAPTCHA v2.

Comment fonctionne le rebreakCAPTCHA ?

L’attaque fonctionne avec les challenges audio, une option secondaire de vérification disponible généralement au bas de la fenêtre pop-up reCAPTCHA.

option pour le challenge audio
Google offre la possibilité de télécharger le challenge audio aux personnes utilisant de vieilles versions de navigateurs qui ne supportent pas la lecture audio.

téléchargement du challenge audio proposé par google

Dans son test, après avoir téléchargé le fichier, le chercheur était en mesure de l’envoyer vers un autre service de Google, la reconnaissance vocale, grâce à une implémentation de sa bibliothèque en Python. L’API a pu retourner à son tour, la chaîne de caractères nécessaire pour la validation du reCAPTCHA.

East-EE a automatisé toutes ces étapes à l’aide d’un script python qu’il a rendu disponible sur GitHub.

Il ne serait pas étonnant de voir des pirates utiliser cette preuve de concept pour créer des extensions ou d’autres services Web fournissant des services de contournement de reCAPTCHA.

Google travaille en ce moment sur Invisible reCAPTCHA, une 3e version de reCAPTCHA qui requerra une interaction minimale avec l’utilisateur.

Source : Eastee.com

mdestroy

One thought on “Un hacker brise le reCaptcha de Google grâce à un autre service de Google

Leave a Reply

Your email address will not be published. Required fields are marked *