Privacy Pass : Apple veut aussi la peau des CAPTCHAs

Pour créer un compte ici, vous devez cliquer sur les images représentant des palmiers, à moins qu’il ne s’agisse de feux de circulation. Pour vous connecter là, vous devez faire glisser un carré dans une image, rapidement mais pas trop. Pour remplir un formulaire plus loin, vous devez déchiffrer la pierre de Rosette en sautant à clochepied. Soyez rassurés, les ingénieurs d’Apple sont au moins aussi agacés par les CAPTCHAs que vous.

Ces tests de Turing prétendent distinguer les humains des ordinateurs, mais sont régulièrement défaits par les progrès de la recherche informatique. Qu’ils présentent des caractères ou des images, ils conservent le même intérêt, celui de vous faire travailler gratuitement. Les CAPTCHAs textuels étaient utilisés pour contrôler le résultat des outils de reconnaissance optique de caractères, et les CAPTCHAs photographiques participent à la classification des données utilisées dans le machine learning et la conduite autonome.

Google veut repousser les critiques avec son nouveau mécanisme reCAPTCHA, censé utiliser des technologies sophistiquées pour analyser le comportement du navigateur, et réduire le CAPTCHA à une coche. Sauf que ces techniques reposent surtout sur le pistage de l’adresse IP et la prise d’empreinte du navigateur, et ne remplacent pas les tests plus classiques, qui restent difficilement accessibles aux personnes utilisant des lecteurs d’écran.

Avec le concours de Fastly et de Cloudflare, mais aussi de Google, Apple veut standardiser le protocole Privacy Pass pour remplacer définitivement les CAPTCHAs. La firme de Cupertino pense que la possession d’un appareil, d’une empreinte ou d’un visage pour le déverrouiller, et d’un compte pour télécharger des applications depuis l’App Store ou synchroniser les données de Safari est une preuve suffisante d’humanité.

Le protocole Privacy Pass implique deux acteurs, un fournisseur qui procure les jetons attestant de la fiabilité du navigateur, et un validateur qui vérifie le jeton produit par le fournisseur. Apple s’inspire du système Oblivious DoH, conçu en partenariat avec Cloudflare, pour anonymiser les échanges par l’intermédiaire d’un serveur d’attestation iCloud.

Avant de proposer un CAPTCHA, un site peut utiliser la méthode HTTP PrivateToken pour exiger un personal access token, c’est-à-dire un jeton d’authentification provenant d’un fournisseur de confiance. Dans iOS 16 et macOS Ventura, le navigateur pourra transférer la demande au serveur d’attestation iCloud, en retirant les informations qui permettent d’identifier le site à l’origine de la demande.

Apple vérifie la requête : si des milliers d’autres demandes proviennent de la même adresse IP, l’appareil fait partie d’une ferme de serveurs, et si des centaines de requêtes proviennent du même appareil, il a probablement été détourné par un botnet. Si tout semble en règle, le serveur d’attestation signe la demande et l’envoie au fournisseur de jetons, cette fois en retirant les informations permettant d’identifier l’appareil à l’origine de la demande.

Le fournisseur fait implicitement confiance à Apple : la demande repart dans l’autre sens, les données d’identification sont progressivement réintégrées, et finalement le site valide le jeton et laisse entrer l’utilisateur. Apple connait l’identité de l’utilisateur mais ne connait pas celle du site, le fournisseur connait l’identité du site mais pas celle de l’utilisateur, la confidentialité des échanges est préservée.

Fastly et Cloudflare ont déjà implémenté le protocole Privacy Pass, que vous pouvez aussi tester sur le site du service hCaptcha. D’autres fournisseurs de jetons pourront s’inscrire sur le portail Apple Business Register d’ici à la fin de l’année. Une seule condition, un fournisseur doit opérer au moins cent serveurs, pour empêcher l’identification d’un site par son choix de fournisseur.

Apple utilise déjà le protocole Privacy Pass pour authentifier les utilisateurs du relai privé. Google implémente cette technologie sous le nom de Trust Tokens, mais refuse de la considérer comme une solution de remplacement des CAPTCHAs. En lieu et place, la plus grande régie publicitaire de la planète les utilise pour vérifier que l’utilisateur est bien humain… pour ne pas gâcher des affichages publicitaires face à des robots.