Google reCAPTCHA est une double menace pour les utilisateurs finaux :
- Les utilisateurs finaux sont exposés à la fraude
- Il les empêche d’acheter ce qu’ils souhaitent
Google reCaptcha est la solution CAPTCHA proposée par Google, dont nous avons tous déjà été victimes :
Aujourd’hui, Google a créé une troisième version et elle ne fonctionne toujours pas mieux.
1- Google reCAPTCHA expose les utilisateurs finaux à la fraude
Depuis 2012, le hacking de Google reCAPTCHA est devenu un sport national :
- https://arstechnica.com/information-technology/2012/05/google-recaptcha-brought-to-its-knees/
- https://threatpost.com/google-recaptcha-bypass-technique-uses-googles-own-tools/124006/
- https://www.wired.co.uk/article/google-captcha-recaptcha
Sur le Dark Web, des fraudeurs revendent des kits pour contourner industriellement Google reCAPTCHA. Sur le web, cela coûte 1,5$ pour 1000 Google reCAPTCHA piratés : https://anti-captcha.com/mainpage
Abdelaziz Khaled, cyber analyste chez EVINA : « Ces outils sont faciles à télécharger et à mettre en place. On les trouve partout. Lorsque nous faisons de la retro-ingénierie sur un logiciel malveillant, comme nous l’avons fait avec le malware MOBOK, le code est en partie dédié au contournement d’un reCAPTCHA de Google » (photo ci-dessous).
2- Google reCAPTCHA empêche les clients d’acheter ce qu’ils souhaitent
En effet, Google reCAPTCHA v3 génère des faux positifs.Wesley Hendriks, chef de l’équipe des données chez Sam Media : « En interne, nous avons testé Google reCAPTCHA v3 et comparé les résultats avec d’autres solutions anti-fraude. Nous avons constaté qu’environ 50 % du trafic légitime selon d’autres solutions anti-fraude obtenait les scores les plus bas, soit 10 ou 30, avec Google reCAPTCHA V3”.
Le produit étant gratuit, Google offre un service de support très faible et une compréhension très réduite des données collectées. Google se limite à fournir un score entre 0,0 et 1,0 pour que vous puissiez déterminer quelle transaction bloquer. Or le soutien et l’analyse sont essentiels pour lutter correctement contre la fraude.
Fabienne Huygens, Chef de produit chez CM.com : « Lorsqu’il s’agit d’une solution anti-fraude, le soutien est essentiel. L’équipe Evina est proactive et soutient nos équipes au quotidien pour lutter contre la fraude ».
Franck Semanne, responsable de la facturation mobile chez Bouygues Telecom : “Pour ce qui concerne la solution anti-fraude, nous ne pouvons pas nous fier à un score moyen qui nous laisserait décider ce qui constitue une fraude. Une solution anti-fraude doit détecter et définir précisément une tentative de fraude et c’est ce que nous apprécions chez Evina ».
Nos équipes sont là pour vous fournir des solutions efficaces de lutte contre la fraude et pour sensibiliser vos partenaires au fait qu’utiliser Google reCAPTCHA comme solution anti-fraude est une très mauvaise idée.
