Google teste un nouveau systeme de CAPTCHA qui demande aux utilisateurs d’agiter la main devant leur camera. La solution, deja operationnelle sur certains sites, peut etre contournee avec une simple photo d’une main levee trouvee sur Internet. Entre failles de securite et questions de vie privee, le concept pose plus de problemes qu’il n’en resout.
Les CAPTCHA font partie du quotidien des internautes depuis pres de vingt-cinq ans. Ces puzzles destines a distinguer les humains des robots ont connu plusieurs generations : textes deformes, identification d’images, coche de la case «Je ne suis pas un robot». Mais a mesure que l’intelligence artificielle a progresse, chacune de ces methodes est tombee l’une apres l’autre. Les modeles de vision par ordinateur reconnaissent les panneaux de signalisation et les passages pietons aussi bien que nous. Les IA generatives lisent les textes tordus sans sourciller. Google cherche donc un nouveau rempart.
Sa derniere idee : le geste de la main. Le systeme, actuellement deploye sur certains sites en test, demande a l’utilisateur d’autoriser l’acces a sa camera, puis d’effectuer un mouvement simple devant l’objectif, comme un geste de la main ou une paume ouverte. Google enregistre une courte video du geste, en extrait 21 coordonnees d’articulations de la main via un modele d’IA entraine a cet effet, puis supprime immediatement l’enregistrement. En theorie, la methode parait solide. En pratique, elle a deja vole en eclats.
Contourne en quelques minutes avec une image de stock
Un utilisateur sur X a ete le premier a mettre en lumiere la faille. En utilisant OBS Virtual Camera, un logiciel courant chez les streameurs, il a connecte un flux video artificiel pointant vers une simple photo d’une main levee trouvee sur une banque d’images. Le CAPTCHA a valide la verification sans exiger de mouvement, de video ou d’animation.
Le constat a ete confirme par Ivan Jenic, journaliste chez Neowin, qui a reproduit l’experience de son cote. Apres quelques ajustements pour cadrer l’image de stock dans le flux OBS, le verrou a cede. Pas besoin de reseau de neurones generateur de video, pas de script complexe : une image fixe suffit. Le processus est automatisable en quelques lignes de code Python, ce qui ouvre la porte a des campagnes de spam ou de fraude a grande echelle exploitant cette nouvelle methode.
L’utilisateur a l’origine de la decouverte a publie sur X une video du contournement en action, montrant le flux OBS basculant entre differentes images de stock jusqu’a trouver le geste valide par l’IA de Google. La publication, rapidement relayee par la communaute securite, a confirme ce que beaucoup redoutaient : une solution biomeetrique grand public peut etre mise en echec par un logiciel de streaming gratuit et une recherche Google Images.
Un recul pour la securite et un pas vers la surveillance
Le probleme ne se limite pas au contournement technique. Ce nouveau CAPTCHA introduit une collecte de donnees biomeetriques la ou les methodes precedentes se contentaient d’un clic ou d’une reconnaissance d’image. Meme si Google affirme ne pas conserver la courte video enregistree, le geste de la main est transmis a ses serveurs a chaque verification. Les coordonnees des 21 articulations de la main, analysees par l’IA de Google, constituent une signature biomeetrique potentiellement identifiable, comparable a une empreinte digitale temporaire.
Dans un contexte ou la mefiance envers la collecte de donnees personnelles n’a jamais ete aussi elevee, demander aux internautes de brandir leur main devant un capteur pour acceder a un site web parait contre-productif. D’autant que la promesse de securite est aneantie par la simplicite du contournement. L’utilisateur se retrouve a fournir une donnee biomeetrique sensible sans la moindre garantie de protection efficace en retour, un equilibre pour le moins defavorable.
Google doit revoir sa copie avant un deploiement large
La firme de Mountain View n’a pas officiellement commente l’incident, mais les correctifs necessaires sont evidents. L’IA de reconnaissance des articulations doit apprendre a distinguer une image fixe d’un mouvement reel. La detection de profondeur, l’analyse du flux video en temps reel ou l’ajout d’une verification multi-image sont des pistes techniques pour renforcer le systeme.
Le timing de cette revelation est particulierement maladroit pour Google. La firme communique abondamment sur sa strategie de securite «AI-first», et ce nouveau CAPTCHA devait incarner cette vision. Qu’un simple utilisateur equipe d’un logiciel gratuit ait pu le desamorcer en quelques minutes envoie un signal inquietant sur la robustesse reelle des solutions biomeetriques grand public.
En attendant, les CAPTCHA traditionnels restent la reference, bien que leur efficacite decline face aux IA generatives. La lecon est claire : ajouter un capteur biometrique sans verrouiller les entrees du systeme ne fait que deplacer le probleme. Si Google ne corrige pas rapidement son IA, cette methode gestuelle pourrait bien rejoindre le cimetiere des idees de securite mort-nees. Avec un dossier d’images de stock comme epitaphe.
