Apparus sur Internet au début des années 2000, les CAPTCHA, sont des suites de lettres et de chiffres déformés, que l'internaute doit écrire dans une case pour prouver qu'il n'est pas un robot. Un système populaire, mais qui n'est pas sans défaut et peut être déjoué par des bots toujours plus performants. Un constat qui a poussé Jeremiah Blocki, Manuel Blum, et Anupam Datta, deux chercheurs de la CMU, de se pencher sur une alternative.
Ainsi est né le GOTCHA, pour « Generating panOptic Turing Tests to Tell Computers and Humans Apart ». Ce dernier se base sur le test de Rorschach, utilisé en psychiatrie et psychanalyse, qui demande à une personne de décrire ce qu'elle voit dans une série de taches d'encre symétriques. Le GOTCHA cherche à capitaliser sur la capacité de l'homme à reconnaître des formes visuelles : concrètement, des tâches d'encre similaires à celle du test de Rorschach sont présentées à un internaute au moment où il s'inscrit sur un site. Il doit alors décrire ce qu'il y voit en une phrase. Lorsqu'il reviendra, plus tard, s'identifier, les descriptions et les dessins seront mélangés et il devra les faire correspondre pour accéder au service.
L'idée est de déjouer toute attaque automatisée qui pourrait être lancée par des pirates par le biais de robots, capables de réaliser des milliers de tentatives d'accès en multipliant les combinaisons. Avec le GOTCHA, ses créateurs estiment que la perception humaine va trop loin pour être reproduite par un bot.
Mais le procédé reste encore à affiner : les chercheurs ont expérimenté leur création au Mechanical Turk d'Amazon, et n'ont pas obtenu de résultats vraiment satisfaisants. Sur 70 participants, seulement 17 ont été capables, 10 jours après le premier test, d'associer leurs descriptions avec les 10 dessins. 69% des participants arrivaient à associer au moins 5 dessins sur 10 avec les descriptions qu'ils avaient eux-mêmes donnés.
Jeremiah Blocki, Manuel Blum, et Anupam Datta estiment que tout le monde ne pourrait pas être réceptif à une telle démarche, et qu'un système tel que le GOTCHA pourrait alors être proposé sur une base facultative, « pour que les utilisateurs en difficulté ne bloquent pas leur compte ». Le temps passé à activer une telle sécurité pourrait également être un frein pour un bon nombre d'utilisateurs, désireux d'accéder rapidement au service.
Il faudra donc encore un bon moment avant qu'une alternative fiable au bon vieux CAPTCHA n'arrive, mais les recherches vont bon train pour lui trouver un remplaçant.
