Captcha: comment bien les casser

Notez cet article

Lorsque l’on aspire à devenir un Blackhatteur de la mort qui tue, on s’efforce à automatiser un maximum de choses, de sorte que l’on puisse être capable de générer 1000 sites à la minute mais aussi un nombre considérable de backlinks en un minimum de temps.

On s’expose toutefois à deux problématiques techniques de taille: sa propre adresse IP qui va rapidement être repérée par les systèmes de filtre mis en place par certains pour lutter contre les DDOS et le spam (big G et les hébergeurs avec lesquels on va « travailler ») et surtout le captcha, l’arme élémentaire qui prouve que vous êtes bien quelqu’un qui respire, boit de la bière, regarde des films de ucques et non pas un de ces petits robots Perl développés pour le plus grand confort de son utilisateur.

Il y a plusieurs façons de contourner le problème:

– Tout d’abord l’OCR, le logiciel de reconnaissance optique des caractères: il s’agit d’un logiciel spécialisé dans le décodage des images. Le programme va chercher l’image, l’analyser et décrypter les caractères qui y sont écrits. Le sinistre Xrumer embarque un tel dispositif dans son arsenal. Gorc est un utilitaire Linux également capable de faire de la reconnaissance optique. Le gros problème, c’est que ce n’est pas toujours très fiable, car il existe des dizaines de façon de faire un bon captcha.

– Ensuite, vous pouvez utiliser la bonne vieille mondialisation en faisant travaillant des gens qui coûtent beaucoup moins cher que vous, qui ne font pas grève, qui ne désobéissent pas, qui ne séquestrent pas leur patron ou leur maitresse d’école, qui ne reçoivent pas Gulli à la télé et qui sont contents de gagner $5 par jour.

Par exemple, un service comme Decaptcher vous propose de décoder manuellement 1000 captchas pour seulement $2, vive le village mondial !

– Et finalement, il existe une autre façon très originale et pas assez souvent commentée: la méthode de la taupe.

A l’instar de l’outsourcing (cas de Decaptcher), l’idée est d’utiliser l’Internaute Lambda qui doit entrer un captcha pour pouvoir visualiser par exemple une vidéo de Denise Fabre présentant ses boutiques de tricotin.

Pour faire simple, je crée un site qui sous le couvert d’une opération triviale va en fait aller me faire en sous-marin une autre opération, à savoir une inscription sur un forum protégé par un captcha; et tout cela gratuitement et avec la généreuse contribution de mes chers visiteurs.

Voici la technique exposée de A à Z: je commence par acheter un .com à $1. Puis j’y installe un script d’annuaire gratuit. Ce genre de script plait toujours aux webmasters qui cherchent à construire des backlinks, surtout ceux qui ne demandent aucun lien de retour. C’est du trafic assuré et les mêmes gens qui reviennent souvent. De plus, on vous fait des liens sans que vous le demandiez. Pardi, des backlinks à l’œil ca circule bien, même pour des annuaires pourris. Mettez votre annuaire dans la signature de votre compte sur un forum Webmaster, et vous allez voir le résultat.

Mais revenons à nos moutons: je modifie alors le code de l’annuaire à ma façon; je récupère l’image du captcha et l’incorpore directement dans le formulaire de l’annuaire. Bien évidemment la récupération de l’image se fait toujours via un proxy ou Tor; hors de question de toujours présenter l’adresse de mon serveur au site qui m’intéresse.

A la longue, je finirai par me faire repérer, et certainement me faire filtrer. Mon visiteur n’a plus qu’à entrer les informations (dont le captcha), en espérant qu’il ne se trompe pas car je n’ai aucun moyen de le vérifier. Finalement, je n’ai plus qu’à poster le formulaire sur le site qui m’intéresse via un CURL ou tout autre machin similaire, et voilà, je viens de créer un compte automatiquement sur un de ces gros forums ou site 2.0 générateur de bons liens.

Certes, il y a quelques subtilités techniques dans le code: cookies, sessions, etc. Mais pour un programmeur, c’est assez trivial. Bien entendu, l’annuaire n’est pas le seul programme “taupe” que l’on peut utiliser; il y en a d’autres comme les « Tubes » ou les Proxy ; c’est tout un petit monde sous-marin que vous pouvez vous créer.

Pour finir, méfiez-vous donc quand vous allez devoir entrer un captcha pour commenter sur Pagasa :-]

5 commentaires sur “Captcha: comment bien les casser

  1. « en espérant qu’il ne se trompe pas »
    > Il y a toujours moyen de vérifier si le captcha qu’il a saisi est le bon ;-)

  2. Voici un très beau résumé d’une manière d’automatiser se tâches fastidieuses, pourrait-on avoir plus d’infos sur les proxy et en particulier, où trouver des listes gratuites et fonctionnelles ?

  3. Bah non … Si justement on cherche a connaître le captcha c’est qu’on ne peux pas vérifier si c’est le bon .. d’ou la confiance laisser au visiteur, sinon nous n’aurions pas besoin de lui si nous pouvions le savoir ;)

  4. tu teste le captcha sur le site en question, si il passe c’est qu’il est vrai sinon il est faux…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

CommentLuv badge