Ouvrir le menu principal

MacGeneration

Recherche

Cloudflare veut (encore) remplacer les CAPTCHA

Anthony Nelzin-Santos

lundi 17 mai 2021 à 13:00 • 23

Matériel

Quelle photo contient un vélo ? Trouvez les bouches d’incendie ! Placez ces objets sans queue ni tête dans le bon sens. Si vous ressentez une panique existentielle profonde à la lecture de ces phrases, vous avez déjà utilisé un test de défi-réponse CAPTCHA, censé prouver que vous n’êtes pas un robot. Après avoir essayé d’imposer son propre système de CAPTCHA, l’entreprise d’infrastructure numérique Cloudflare ambitionne de les rendre obsolètes.

Image Cloudflare.

Les CAPTCHA, ces « tests de Turing publics complètement automatisés pour faire la part entre les machines et les humains », n’ont jamais été aussi compliqués. Google prétend avoir abandonné l’approche visuelle, au profit d’une troisième génération du système reCaptcha basée sur l’observation du comportement de l’utilisateur, mais les tests de reconnaissance d’objets restent courants.

Le système reCaptcha transforme les visiteurs des sites web en microtâcherons qui nourrissent la machine algorithmique de Google. La première génération alimentait les systèmes de reconnaissance optique des caractères, la seconde assiste les systèmes de reconnaissance des objets de voitures qui ne sont définitivement pas autonomes. « Environ 500 années-humain sont gâchées chaque jour » par ces systèmes, estime Cloudflare.

Dire qu’elle avait tenté d’imposer son propre système ! Mais hCaptcha, qui n’était rien d’autre qu’un système d’étiquetage des données destinées au machine learning, s’est révélé être un échec. L’entreprise américaine, notamment connue pour son immense réseau de diffusion de contenu, effectue donc un virage sur l’aile. Si ce n’est pas son système de CAPTCHA, ce ne sera aucun système de CAPTCHA, mais un système de CAP.

CAP ? Cryptographic Attestation of Personhood, c’est-à-dire « attestation cryptographique de la qualité de personne » dans la langue de Clio. « Une véritable personne devrait être capable de toucher ou de regarder son appareil pour prouver qu’elle est humaine », explique Cloudflare, « sans révéler son identité ». Il s’agit de prouver sa qualité de personne humaine sans dévoiler son identité personnelle.

Ce système repose pour le moment sur l’utilisation d’une clé de sécurité, comme les clés de Yubikey. La page de démonstration de Cloudflare montre l’intérêt du système :

  • la page demande une attestation cryptographique ;
  • l’utilisateur clique sur le bouton « Je suis humain » pour répondre ;
  • si la clé de sécurité est déjà branchée, il doit seulement l’effleurer pour obtenir son sésame.
L’obtention d’un CAP, ici dans la dernière version de Safari, avec une clé Yubikey 5ci.

À condition de posséder une clé de sécurité, la procédure prend un clic et deux secondes, et ne demande aucune configuration spécifique. Cloudflare se moque du modèle précis de clé, et même de savoir si elle est correctement configurée, tant qu’elle provient d’un fabricant de confiance. Brancher une clé de sécurité, et la toucher pour l’activer, suffit à prouver qu’une personne est devant l’écran.

« L’attestation n’est pas liée à l’appareil de l’utilisateur », explique Cloudflare. Le principal obstacle est bien sûr la possession d’une clé, mais l’entreprise prévoit de prendre en charge d’autres méthodes d’authentification compatibles avec le protocole WebAuthn, qui prévient la collecte de données biométriques. Le capteur Touch ID d’un Mac et le capteur Face ID d’un iPhone pourraient ainsi servir de sésame.

Sans le soutien des fabricants d’appareils, et surtout d’Apple et de Google, ce nouveau protocole ne dépassera pas le stade de l’expérimentation. Et même s’il devait être adopté, il n’empêchera pas les opérations des fermes à clic. Mais s’il permet de réduire les nuisances liées aux CAPTCHA qui reviennent et reviennent encore avec des questions de plus en plus absurdes…

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Firefox profite un peu du DMA, mais Apple entrave toujours la concurrence

19/03/2025 à 22:00

• 12


L’envoyé spécial russe annonce un probable futur partenariat entre la Russie et SpaceX

19/03/2025 à 21:30

• 25


3 raisons qui font préférer Microsoft Office à iWork sur Mac 📍

19/03/2025 à 21:16


Le joystick Xbox pour les personnes en situation de handicap est disponible

19/03/2025 à 18:45

• 6


La Maison-Blanche passe par Starlink pour « améliorer le Wi-Fi »

19/03/2025 à 18:00

• 50


Notifications d'iOS, alternative à AirDrop et à AirPlay : l’Europe demande à Apple de rendre iOS plus interopérable

19/03/2025 à 17:59

• 135


Le MacBook Air M2 16 Go en promotion dès 850 €

19/03/2025 à 15:45

• 14


Les autocollants Intel Inside pour puces Apple Silicon sont en vente

19/03/2025 à 15:30

• 25


15 mois plus tard, Killers of the Flower Moon sort sur Apple TV+ en France

19/03/2025 à 14:45

• 27


Seagate montre des disques durs NVMe

19/03/2025 à 14:15

• 6


Asahi Linux perd encore une de ses développeuses

19/03/2025 à 11:30

• 26


Today : une application pour s’essayer au timeboxing en toute simplicité

19/03/2025 à 11:00

• 14


La carte Vitale sur iPhone est disponible partout en France

19/03/2025 à 07:11

• 77


Resident Evil 3 est désormais disponible sur Mac, iPhone et iPad

18/03/2025 à 21:30

• 31


Test des MacBook Air M4 : faut-il lâcher la M1 ?

18/03/2025 à 20:30

• 27


Promo : le Mac mini M4 à 630 € chez Amazon Allemagne (-10%)

18/03/2025 à 19:47

• 4