Diegem, le 6 mai 2008 - Une récente étude de Trend Labs, la division d'étude de Trend Micro Incorporated (TSE: 4704), montre que les cybercriminels ont trouvé une nouvelle méthode unique pour contourner les vérifications de sécurité CAPTCHA. CAPTCHA est l'acronyme de « Completely Automated Public Turing test to tell Computers and Humans Apart ». Ces tests contrôlent si les sites sont utilisés par une personne ou un réseau d'ordinateurs programmés pour envoyer de grandes quantités de spam (botnets - réseaux d'ordinateurs zombies). Les spammeurs font craquer ces codes CAPTCHA manuellement par les programmeurs bon marché des sweatshops indiens.

30 à 35 % des comptes peuvent être craqués avec des méthodes traditionnelles. L'utilisation des sweatshops permet d'atteindre un pourcentage de succès proche de 100 %. Les cybercriminels ont ainsi bien plus de comptes à leur disposition pour envoyer des spams qui installent des programmes malveillants sur les PC. Trend Micro a découvert qu'un des plus grands fournisseurs d'e-mails gratuits est la cible de ces piratages et qu'un grand nombre de ses comptes sont craqués.

La méthode fonctionne comme suit :
1. Le robot introduit des données au hasard sur la page d'inscription ;
2. Lorsqu'arrive la vérification CAPTCHA, le robot envoie un message vers un terminal informatique en Inde ;
3. Les employés du sweatshop indien notent la combinaison de chiffres et de lettres correspondants et renvoient cette information au robot ;
4. Le robot introduit la réponse et termine le processus d'enregistrement ;
5. Les spammeurs ont un accès gratuit au compte utilisateur ;
6. Le compte e-mail commence à envoyer du spam vers des milliers d'adresses e-mail légitimes.

« Cette nouvelle méthode prouve - si besoin en était - que la cybercriminalité fonctionne comme le crime organisé et n'a plus rien d'un "divertissement innocent". En louant des gens pour à peine 2,5 euros par jour, les spammeurs ont accès à des millions de comptes enregistrés », explique Rik Ferguson, Solutions Architect EMEA de Trend Micro. « Ces comptes peuvent à leur tour envoyer des millions de messages de spam et ainsi infecter des utilisateurs du monde entier avec toutes sortes de programmes malveillants. Les spammeurs peuvent par exemple envoyer un enregistreur de frappe qui leur communiquera les mots de passe et les données bancaires des utilisateurs à leur insu. »