Des ateliers clandestins pour détourner Gmail
par mail
l'article
Les escrocs ont de l’imagination. Ils ont trouvé une parade très efficace pour détourner Captcha (Completely automated public turing test to tell computers and humains apart). Exploitée notamment par Google, cette solution a été retenue pour protéger les comptes de son webmail, Gmail. Pour finaliser l’ouverture d’un compte, l’internaute doit en effet retaper des caractères insérés dans une image.
Cette procédure est censée bloquer les logiciels-robots, utilisés par les spammeurs, qui sont incapables de répondre à ce genre de requête d’authentification en retapant correctement la suite de caractères. Mais des petites mains peuvent le faire ! C’est ce que viennent de révéler Websense et Trend Micro.
Selon ces éditeurs de sécurité, les spammeurs exploitent en Inde des personnes payées quelques euros par jour pour seconder ces logiciels analphabètes ! Ce pays n’est pas le seul à être utilisé par les spammeurs. “ Nous avons repéré de la documentation en ligne sur des sites russe qui fournissent des instructions détaillées sur la manière de procéder ”, nous a précisé Rik Ferguson, Solutions Architect de Trend Micro.
Un taux de réussite proche de 100 %
L'opération se déroule en quatre étapes. Premièrement, un logiciel se connecte automatiquement à la page d’inscription de Gmail et remplit le formulaire avec des données aléatoires. Lorsque le message Captcha apparaît, le logiciel envoie la page à l’atelier indien où une personne saisit la combinaison de lettres et de chiffres et renvoie l’information au logiciel. Ce dernier n’a plus qu’à terminer le processus d’enregistrement. Les spammeurs disposent ainsi d’un nouveau compte gratuit. Aussitôt après, ils peuvent envoyer plusieurs millions de spams par l'intermédiaire de ce compte Gmail.
Cette méthode est plus efficace que celle reposant uniquement sur des logiciels-robots développés pour remplir de façon aléatoire le code Captcha. Le taux d’erreurs approcherait les 70 à 80 %. Avec la procédure manuelle, le taux de réussite frôle le 100 % ! “ Ces développements vont certainement jeter le doute sur l'efficacité de tout système qui repose sur la technologie Captcha pour authentifier ses abonnés ”, estime Rik Ferguson.
Le détournement de cette protection, utilisée par de très nombreux services Web (forums, webmail, etc.), produit déjà ses premiers effets négatifs. Le trafic d’e-mails généré par des comptes Gmail a doublé en un mois, selon le spécialiste de la sécurité MessageLabs. Face à cette multiplication des spams issus de comptes créés dans ces ateliers, les éditeurs de logiciels antispam commencent à durcir leur filtrage des adresses Gmail…
01net. - 01men - RMC - BFM Radio - BFM TV - La Tribune - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
