Procédé de communication sur un réseau au moyen d'un serveur mettant en œuvre un test.

L'invention concerne les communications sur un réseau tel qu'Internet et en particulier l'accès à un serveur de communication via le réseau.

Il est connu d'insérer dans une page web informatique un test de type captcha qui est une forme de test de Turing permettant de différencier un utilisateur humain d'un ordinateur. "Captcha" est l'acronyme anglais de Completely Automated Public Turing Test to Tell Computers and Humans Apart, qui signifie en français "Test de Turing public complètement automatique ayant pour but de différencier les humains des ordinateurs". Ce test est utilisé sur Internet pour limiter l'accès à certaines pages ou à certains documents. On le trouve en particulier à la fin de formulaires. L'utilisateur doit remplir des champs et répondre au test avant de renvoyer le formulaire au serveur. Si notamment la réponse au test est telle qu'attendue par le serveur, ce dernier autorise l'utilisateur à accéder à certains services offerts par le serveur. Ce test est utilisé pour prémunir le fournisseur d'accès et son serveur à l'égard des soumissions automatisées et intensives susceptibles d'être réalisées par des robots malveillants. A cette fin, la réponse au captcha met en œuvre les capacités d'analyse d'image ou de son de l'être humain. Un captcha usuel requiert ainsi que l'utilisateur entre sur son terminal des chiffres et/ou des lettres qui sont visibles à l'écran sur une image distordue. Certains sites web préfèrent afficher une image qui contient une question mathématique.

Les captchas permettent de lutter contre différents types de menaces. Ainsi, ils permettent de lutter contre les spams en évitant l'inscription des robots à des webmails gratuits (dont les comptes pourraient être utilisés par la suite pour l'envoi de courriels non sollicités). On désigne ici par webmail, que l'on peut traduire par « courrielleur web », une interface web rendant possible l'émission, la consultation et la manipulation de courriers électroniques directement sur le web depuis un navigateur. Les captchas permettent également de lutter contre les spams, lors de la soumission de messages dans des forums de discussion et des blogs, qui pourraient permettre de faire du spamdexing. Ce terme, que l'on peut traduire par « référencement abusif », désigne un ensemble de techniques consistant à tromper les moteurs de recherche sur la qualité d'une page ou d'un site afin d'obtenir pour un mot-clé donné un bon classement dans les résultats fournis par les moteurs de recherche. Les captchas permettent également d'empêcher l'extraction automatisée de bases de données par les robots. Ils constituent un outil de lutte contre les tentatives d'attaque par force brute, ce terme désignant une méthode utilisée en cryptoanalyse pour trouver un mot de passe ou une clé. La méthode consiste à

tester une à une toutes les combinaisons possibles et constitue ainsi une méthode de recherche exhaustive. Enfin, les captchas permettent de lutter contre la participation de robots à des sondages dont les résultats pourraient ainsi être faussés par des votes automatisés. Les captchas sont couramment utilisés par les serveurs dits à état, c'est-à-dire à session. Dans un tel cas, le serveur qui reçoit une réponse de la part d'un terminal d'un utilisateur connaît la question qu'il a posée car il l'a gardée en mémoire. Ainsi la proposition envoyée par l'utilisateur est comparée par le serveur avec le contenu d'une page de vérification en même temps que les autres zones de saisie éventuelles (par exemple les champs d'un formulaire). Puisque la page de vérification connaît la question posée ou challenge initial qui a été envoyée par le serveur en début de session, ce dernier peut déterminer si la proposition de réponse adressée par l'utilisateur est correcte ou pas.

Cependant, les captchas ne sont pas utilisables sur les serveurs sans état, c'est-à- dire sans session. C'est le cas par exemple dans le cas de l'interface normalisée utilisée par les serveurs de type HTTP et désignée par l'acronyme CGI qui signifie Common Gateway Interface, à savoir "Interface passerelle commune". En effet, un inconvénient des serveurs sans état est que, si un tel serveur reçoit une proposition de réponse de la part d'un utilisateur, il ne sait pas à quelle question il s'agissait de répondre. Il n'est donc pas en mesure d'examiner la validité de la réponse reçue. En effet, les serveurs sans état, au contraire des serveurs avec état, ne peuvent pas avoir en mémoire la question qu'ils ont envoyée sur le réseau.

On prévoit selon l'invention un procédé de communication sur un réseau comprenant une étape d'envoi, par un serveur, d'une page informatique comprenant une question et un élément considéré par le serveur comme une réponse correcte à la question.

L'invention est applicable aussi bien aux serveurs à état qu'aux serveurs sans état. Néanmoins, elle est particulièrement avantageuse dans le cas des serveurs sans état. Ainsi, lorsque l'utilisateur retourne la page au serveur avec sa proposition de réponse à la question, le serveur reçoit en outre dans cette page l'élément qui répond correctement à la question. Il peut donc comparer la proposition de l'utilisateur avec l'élément et déterminer si cette proposition est une réponse correcte à la question, et ce même si le serveur n'a pas gardé en mémoire la question posée. Bien entendu, il sera préférable que l'élément n'apparaisse pas dans la page affichée sur un écran d'une façon trop lisible ou identifiable par l'utilisateur.

Avantageusement, l'élément est chiffré. Nous verrons dans la suite de la description, en référence au mode préféré de réalisation, que le procédé comprend une étape, exécutée par le serveur, de chiffrement de l'élément, la page comprenant l'élément sous forme chiffrée. Ainsi, l'élément n'est pas compris en clair dans la page comprenant la question et consultée par l'utilisateur. Pour répondre correctement à la question, un robot doit donc ou bien avoir été informé de la réponse correcte par un utilisateur humain ou bien rechercher et décrypter l'élément chiffré, ce qui nécessite d'y consacrer un temps substantiel et une part importante des ressources d'une unité centrale et ralentit donc l'attaque que le robot tente d'exécuter.

De préférence, le procédé comprend une étape, exécutée par le serveur, d'insertion dans la page, de préférence dans l'élément, d'une donnée de repérage temporel permettant de déterminer une durée écoulée depuis l'étape d'insertion.

Ainsi, lorsque le serveur reçoit en retour la page avec la proposition de l'utilisateur, il peut déterminer la date de l'expédition de cette page à l'utilisateur. Si cette date apparaît comme trop ancienne, le serveur pourra qualifier la proposition reçue de suspecte et ne pas la traiter comme une réponse émanant d'un utilisateur humain.

Cette caractéristique permet au serveur de reconnaître une intervention de la part d'un robot même si ce dernier a envoyé au serveur une proposition de réponse qui s'avère exacte. L'intervention du robot est donc reconnue comme telle par le serveur en raison de son caractère trop tardif par rapport à l'ancienneté de l'expédition de la question par le serveur.

En outre, cette caractéristique, pour les mêmes raisons, ne donnera pas plus de chances de succès au robot s'il essaie une ou plusieurs fois de réexpédier la même page au serveur. En effet, le retard avec lequel il envoie la réponse au serveur ne fera que s'accroître et empêchera toujours le robot d'être assimilé à un utilisateur par le serveur. Le nombre de tentatives effectuées par le robot est donc parfaitement indifférent à l'égard de l'insuccès de son attaque.

Le procédé selon l'invention pourra également comprendre les étapes suivantes exécutées par le serveur :

- réception d'une proposition comprenant la page ;

- lecture de la donnée de repérage temporel dans la proposition ; et

- comparaison d'une durée séparant les étapes d'insertion et de lecture avec une valeur prédéterminée.

On prévoit également selon l'invention un serveur de communication sur un réseau, qui comprend des moyens pour envoyer une page informatique comprenant une question et un élément considéré par le serveur comme une réponse correcte à la question.

Avantageusement, le serveur est un serveur de type sans état. On prévoit en outre selon l'invention un programme d'ordinateur apte à commander l'exécution d'un procédé selon l'invention, un support d'enregistrement comprenant un tel programme et une mise à disposition d'un tel programme en vue de son téléchargement.

On prévoit aussi une page informatique comprenant une question, un élément formant une réponse correcte à la question, et un champ apte à recevoir une proposition de réponse à la question.

On prévoit enfin un signal transportant des informations aptes à constituer sur un écran une page informatique conforme à l'invention.

Ce signal pourra être de nature électromagnétique et par exemple électrique ou optique. D'autres caractéristiques et avantages de l'invention apparaîtront encore dans la description suivante d'un mode préféré de réalisation donné à titre d'exemple non limitatif en référence aux dessins annexés sur lesquels :

- la figure 1 est une vue schématique d'un réseau de communication dans lequel prend place un serveur selon l'invention ; - la figure 2 est une vue schématique d'une page informatique envoyée par le serveur de la figure 1 ; et

- la figure 3 est un organigramme d'un mode de mise en œuvre du procédé de l'invention.

On a illustré à la figure 1 un serveur 2 connecté à un réseau de télécommunications tel que le réseau Internet 4. En variante, le réseau pourrait être un réseau local ou intranet. Le serveur 2 comprend en l'espèce un ordinateur auquel se connectent à travers le réseau des terminaux clients tels que le terminal 6 illustré à la figure 1. Le serveur 2 sert de façon classique à stocker des fichiers, à transférer du courrier électronique et à héberger des sites Internet comprenant notamment des pages web en langage informatique. De façon classique, le serveur 2 comprend une unité centrale à microprocesseur et des mémoires vive et morte. Il en est de même pour le terminal 6 qui est en outre relié à un moniteur 8.

Le serveur 2 est dans le présent exemple un serveur sans état, c'est-à-dire un serveur sans session. Le serveur 2 comprend des moyens 12 d'un type classique aptes à réaliser et à envoyer sur le réseau 4 sous la forme de signaux des pages web informatiques telles que

Ia page 10 illustrée à la figure 2. Il est apte aussi à recevoir de telles pages pour les traiter. Ces pages sont par exemple réalisées dans le format HTML classique. Elles peuvent comprendre un ou plusieurs textes 14, une ou plusieurs illustrations 16, un ou plusieurs liens hypertexte, etc. La page comprend en l'espèce plusieurs champs 1 1 que l'utilisateur du terminal 6 doit compléter en entrant divers renseignements tels que nom, âge, etc.

Dans certaines circonstances, le serveur 2 est programmé pour déterminer si oui ou non un utilisateur humain intervient sur le terminal 6 dans le cadre de sa communication avec le serveur. En d'autres termes, il cherche à déterminer si au contraire les communications que le serveur 2 reçoit émanent d'un robot ou automate susceptible d'accomplir des actions malveillantes.

A cette fin, le serveur met en œuvre le procédé qui sera décrit plus loin dans lequel intervient un captcha. Le serveur 2 comprend notamment un programme d'ordinateur apte à commander l'exécution des étapes de ce procédé. Ce programme peut être enregistré sur un support d'enregistrement (tel qu'une clé USB, un DVD ou une disquette) afin par exemple d'être transféré sur une autre machine. On peut également prévoir que ce programme soit mis à disposition sur un réseau tel que le réseau Internet en vue de son téléchargement, moyennant le cas échéant certaines conditions d'accès.

En référence à la figure 3, le procédé de l'invention est dans le présent exemple mis en œuvre comme suit.

On suppose que le serveur 2 a reçu de la part du terminal 6 une requête d'envoi à ce dernier de la page web informatique 10 qui peut être affichée sur le moniteur 8. A cette occasion et au moyen de cette page, le serveur cherche à déterminer si un utilisateur humain intervient sur le terminal 6. Pour cela, le serveur 2 dispose dans la page 10 d'une question 18 ou test comprenant par exemple une partie de texte avec un point d'interrogation et si nécessaire une illustration 20. Cette question consiste par exemple à demander à l'utilisateur de désigner ou d'identifier ce qui est représenté sur l'illustration 20. Elle peut également consister à lui demander d'entrer une suite de caractères et/ou de chiffres figurant de façon déformée sur cette illustration 20. La page 10 comprend un champ 13 destiné à recevoir de la part de l'utilisateur une proposition de réponse à la question 18. Ce champ est distinct des champs 1 1 s'ils existent.

Le serveur 2 dispose aussi d'un élément ou contenu 23 formé par exemple par une chaîne alphanumérique. Ce contenu en clair sera par hypothèse considéré par le serveur comme une réponse correcte à la question 18. Par exemple, si l'illustration 20 représentait de façon déformée la chaîne alphanumérique "5fg5", le contenu 23 en clair, considéré

comme une réponse valide par le serveur 2, sera constitué par la chaîne alphanumérique

"5fg5".

Dans une première étape 22 du procédé, le serveur 2 réalise un chiffrage de l'élément 23 au moyen par exemple d'une fonction de chiffrage classique. En outre, dans le présent exemple, à l'occasion du chiffrage de ce contenu, le serveur 2 insère dans le contenu chiffré une donnée de repérage temporel qui permettra ultérieurement de déterminer la date de l'accomplissement de cette opération de chiffrage. Une telle donnée, d'un type classique en soi, est parfois désignée par le terme

"timbre horaire". Le contenu chiffré 23 muni de cette donnée est inséré par le serveur dans la page

10, de préférence de façon telle qu'il sera invisible pour un utilisateur humain lorsque la page apparaîtra sur un écran.

Dans une étape suivante 24, le serveur 2 envoie la page 10 ainsi réalisée, sous la forme d'un signal, à travers le réseau 4 jusqu'au terminal 6. 1 1 . Le signal transporte des informations aptes à constituer sur un écran la page 10. La page envoyée comprend donc notamment la question 18, le contenu chiffré 23 et le champ 13 à remplir.

Ensuite, le terminal 6 reçoit le signal et affiche sur l'écran du moniteur 8 la page 10 transmise par ce signal. Le contenu chiffré 23 est prévu pour ne pas apparaître à l'écran ou du moins pas sous une forme permettant à un être humain d'identifier ce contenu comme tel. Si un utilisateur humain est présent auprès du terminal 6, il prend connaissance de la question 18 et y répond en entrant une proposition de réponse dans le champ 13 destiné à cet effet dans la page 10. Il remplit aussi si besoin les champs 1 1.

Puis il retourne cette page ou une partie de cette page ou encore une page analogue à la page 10, au serveur 2 via le réseau 4 sous la forme d'un signal. Si au contraire le terminal 6 est un automate apte à répondre de lui-même, il insère une proposition de réponse dans le champ 13 et renvoie la page (ou une partie de cette page ou une page analogue) au serveur sous la forme d'un signal. Dans les deux cas, la page informatique envoyée par le terminal 6 comprend le contenu chiffré 23 tel qu'envoyé à l'origine par le serveur et le champ 13 comprenant la proposition de réponse. Dans une étape ultérieure 26, le serveur 2 reçoit donc le signal comprenant cette page. Le serveur 2 extrait de cette page (ou plus précisément du signal) la proposition de réponse ainsi que le contenu chiffré 23.

Au cours d'une étape ultérieure 28, le serveur procède au déchiffrage du contenu chiffré 23. Il convient ici de rappeler que le serveur 2 étant dans le présent exemple un serveur sans état, le serveur, avant la réception de la page venant du terminal 6, ne dispose ni de la question 18 qu'il a posée ni de la réponse qui doit être considérée comme

valide. Procéder au déchiffrage du contenu chiffré 23 lui permet donc de déterminer quelle réponse valide est attendue de la part de l'utilisateur. En outre, à l'occasion de ce déchiffrage, le serveur procède à la lecture de la donnée de repérage temporel qu'il avait insérée lors de l'envoi. Dans une étape ultérieure 30, le serveur 2 détermine la durée séparant la date correspondant à la donnée de repérage temporel (date qui est la date du chiffrage) et la date de l'opération de déchiffrage. On observe ici que la donnée de repérage temporel n'est pas nécessairement sous la forme d'une date. Il suffit qu'elle permette de déterminer la date à laquelle le chiffrage a eu lieu. Une fois cette durée déterminée, le serveur compare cette durée avec une valeur prédéterminée dont il dispose en mémoire. Cette valeur prédéterminée sera fonction des circonstances, du type de serveur, du type de pages web échangées avec les utilisateurs et du type de services que le serveur vise à leur offrir. A titre d'exemples, la durée de référence pourra être de 30 secondes, de une heure ou encore de vingt-quatre heures. On supposera ici qu'elle est de 30 secondes. Lors d'une étape 32, le serveur détermine ensuite si la durée est inférieure à la valeur prédéterminée de 30 secondes. Si la réponse à cette question est négative, le serveur passe à une étape 34 au cours de laquelle l'envoi en provenance du terminal 6 sera traité par le serveur comme n'émanant pas d'un utilisateur humain. En d'autres termes, cet envoi est considéré comme suspect c'est-à-dire susceptible d'avoir été envoyé par un robot. Aucune suite ne lui sera donnée par le serveur. On peut cependant prévoir dans ce cas l'envoi d'un message d'alerte ou d'erreur.

Dans le cas contraire, c'est-à-dire si la durée est inférieure à la valeur prédéterminée, le serveur passe à une étape suivante 36 de lecture de la proposition de réponse dans le champ 13. II passe ensuite à une étape 38 visant à déterminer si la proposition de réponse est identique au contenu déchiffré 23. Si la proposition de réponse est différente du contenu 23 en clair, à nouveau, le serveur passe à une étape 40 dans laquelle il ne donne pas suite à l'envoi provenant du terminal 6 et considère cet envoi comme suspect. On peut cependant ici encore prévoir dans ce cas l'envoi d'un message d'alerte ou d'erreur. On peut aussi envisager l'envoi d'un nouveau test au terminal en vue d'une nouvelle tentative (par exemple si l'on considère qu'il est possible qu'un être humain soit intervenu mais en répondant de façon erronée)

Dans le cas contraire, le serveur 2 considère que la proposition envoyée par le terminal 6 est correcte puisque que la proposition est identique au contenu 23. Le terminal considère donc que c'est un être humain et non un robot qui a préparé cette réponse. Il donne donc libre accès à l'utilisateur 6 à un ou plusieurs services fournis par le serveur 2.

Comme on le voit, le serveur 2 reçoit donc avec la proposition de réponse venant du terminal 6 le contenu 23 considéré comme une réponse correcte par le serveur. Il peut donc, en dépit du fait qu'il ignore la question qui a été posée, examiner la validité de la proposition adressée par le terminal 6. En outre, dans le présent exemple, le fait que le contenu 23 soit transmis sous forme chiffrée au terminal 6 avant d'être renvoyé au serveur permet de limiter les tentatives d'action malveillantes. De plus, la présence dans ce contenu de la donnée de repérage temporel permet de reconnaître, en raison de leur caractère tardif, des propositions de réponse adressées de façon automatique par des robots. La validité de la réponse est donc vérifiée d'une part dans la dimension temporelle et d'autre part quant au fond.

L'invention est adaptable à de nombreux types de tests ou captchas. Il peut s'agir de tests visuels, de tests auditifs, ou encore de tests logiques par exemple. L'invention est également applicable aux serveurs avec état, c'est-à-dire avec session. Bien entendu, on pourra apporter à l'invention de nombreuses modifications sans sortir du cadre de celle-ci. On peut par exemple envisager les variantes suivantes.

La page 10 pourra être une page spécifiquement consacrée au test de sorte qu'elle ne comprendra que la question 18, l'élément 23 et le champ 13.

Bien qu'il soit avantageux d'insérer la donnée de repérage temporel dans l'élément 23 à l'occasion du chiffrage de ce dernier, ces deux étapes pourront être dissociées. Ainsi on pourrait imaginer que le serveur 2 envoie dans la page 10 l'élément 23 en clair (mais sous forme invisible pour un humain sur l'écran affichant la page), en ayant inséré dans cet élément la donnée de repérage temporel.

Dans une variante, on pourrait imaginer que la question 18 est renvoyée elle aussi dans la page par le terminal 6 au serveur 2. Dans ce cadre, on peut prévoir que la donnée de repérage temporel soit insérée par le serveur dans la question 18 (diffusée en clair et affichée) et non dans l'élément 23.

La donnée de repérage pourrait dans d'autres cas être insérée à un autre endroit de la page 10, c'est-à-dire dans un endroit distinct de la question 18 et de l'élément 23. On pourra prévoir que le serveur envoie dans la page 10 l'élément 23 non pas sous forme chiffrée mais hashée. On entend par là que la page comprend une empreinte de l'élément 23 obtenue au moyen d'une fonction de hashage. Dans ce cas, la donnée de repérage temporel sera insérée par le serveur dans un autre composant de la page 10 que l'élément hashé 23. De plus, la comparaison quant au fond de la validité de la proposition envoyée par le terminal 6 se fera en procédant au hashage de cette proposition et en comparant l'empreinte ainsi obtenue avec l'empreinte 23.

L'élément 23 pourra comprendre un ou plusieurs signes autres que des chiffres et des lettres. Il pourra comprendre un son ou une image.

On pourra prévoir de modifier l'ordre des étapes 32 de test de la durée et 38 de test de la validité de la proposition quand au fond. Ainsi, après avoir mis en œuvre les étapes 30 de détermination de la durée et 36 de lecture de la proposition, on pourra exécuter l'étape 38 de test de la validité de la proposition quand au fond puis, en cas de test favorable, l'étape 32 de test de la durée.

Enfin, on pourra prévoir de mettre en œuvre le procédé suivant, dans lequel l'utilisation d'un test est seulement optionnelle : un procédé de communication sur un réseau qui comprend les étapes suivantes exécutées par un serveur :

- une étape de réception d'un contenu ;

- une étape de lecture d'une donnée de repérage temporel du contenu ; et

- une étape de comparaison d'une durée séparant une date correspondant à la donnée et l'étape de lecture, avec une valeur prédéterminée.