Cloudflare veut (encore) remplacer les CAPTCHA

Anthony Nelzin-Santos |

Quelle photo contient un vélo ? Trouvez les bouches d’incendie ! Placez ces objets sans queue ni tête dans le bon sens. Si vous ressentez une panique existentielle profonde à la lecture de ces phrases, vous avez déjà utilisé un test de défi-réponse CAPTCHA, censé prouver que vous n’êtes pas un robot. Après avoir essayé d’imposer son propre système de CAPTCHA, l’entreprise d’infrastructure numérique Cloudflare ambitionne de les rendre obsolètes.

Image Cloudflare.

Les CAPTCHA, ces « tests de Turing publics complètement automatisés pour faire la part entre les machines et les humains », n’ont jamais été aussi compliqués. Google prétend avoir abandonné l’approche visuelle, au profit d’une troisième génération du système reCaptcha basée sur l’observation du comportement de l’utilisateur, mais les tests de reconnaissance d’objets restent courants.

Le système reCaptcha transforme les visiteurs des sites web en microtâcherons qui nourrissent la machine algorithmique de Google. La première génération alimentait les systèmes de reconnaissance optique des caractères, la seconde assiste les systèmes de reconnaissance des objets de voitures qui ne sont définitivement pas autonomes. « Environ 500 années-humain sont gâchées chaque jour » par ces systèmes, estime Cloudflare.

Dire qu’elle avait tenté d’imposer son propre système ! Mais hCaptcha, qui n’était rien d’autre qu’un système d’étiquetage des données destinées au machine learning, s’est révélé être un échec. L’entreprise américaine, notamment connue pour son immense réseau de diffusion de contenu, effectue donc un virage sur l’aile. Si ce n’est pas son système de CAPTCHA, ce ne sera aucun système de CAPTCHA, mais un système de CAP.

CAP ? Cryptographic Attestation of Personhood, c’est-à-dire « attestation cryptographique de la qualité de personne » dans la langue de Clio. « Une véritable personne devrait être capable de toucher ou de regarder son appareil pour prouver qu’elle est humaine », explique Cloudflare, « sans révéler son identité ». Il s’agit de prouver sa qualité de personne humaine sans dévoiler son identité personnelle.

Ce système repose pour le moment sur l’utilisation d’une clé de sécurité, comme les clés de Yubikey. La page de démonstration de Cloudflare montre l’intérêt du système :

  • la page demande une attestation cryptographique ;
  • l’utilisateur clique sur le bouton « Je suis humain » pour répondre ;
  • si la clé de sécurité est déjà branchée, il doit seulement l’effleurer pour obtenir son sésame.
L’obtention d’un CAP, ici dans la dernière version de Safari, avec une clé Yubikey 5ci.

À condition de posséder une clé de sécurité, la procédure prend un clic et deux secondes, et ne demande aucune configuration spécifique. Cloudflare se moque du modèle précis de clé, et même de savoir si elle est correctement configurée, tant qu’elle provient d’un fabricant de confiance. Brancher une clé de sécurité, et la toucher pour l’activer, suffit à prouver qu’une personne est devant l’écran.

« L’attestation n’est pas liée à l’appareil de l’utilisateur », explique Cloudflare. Le principal obstacle est bien sûr la possession d’une clé, mais l’entreprise prévoit de prendre en charge d’autres méthodes d’authentification compatibles avec le protocole WebAuthn, qui prévient la collecte de données biométriques. Le capteur Touch ID d’un Mac et le capteur Face ID d’un iPhone pourraient ainsi servir de sésame.

Sans le soutien des fabricants d’appareils, et surtout d’Apple et de Google, ce nouveau protocole ne dépassera pas le stade de l’expérimentation. Et même s’il devait être adopté, il n’empêchera pas les opérations des fermes à clic. Mais s’il permet de réduire les nuisances liées aux CAPTCHA qui reviennent et reviennent encore avec des questions de plus en plus absurdes…

avatar Gregoryen | 

J'en ai fait un tweet hier à propos des captcha de Sony !! Une horreur !! J'ai mis plusieurs minutes à me connecter entre le code de double auth, le captcha ou il faut trouver le bon chemin avec la souris et le fromage dans un labyrinthe.

Y'a 6 images et faut valider 3 fois ! 🤯

D'ailleurs j'ai trouvé une technique, sur une des 6 images il y a une souris ou un fromage entour de 4 murs, c'est cette image là qu'il faut valider.

avatar esales | 

Je suis totalement opposé à ce système de CAPTCHA.
Donc lorsque un site me l’impose et que je n’ai pas une raison impérieuse de consulter ce site, je refuse et ferme la page.

avatar totoguile | 

Malheureusement tu n'as pas toujours le choix : exemple avec SFR ou tu as un captcha pour consulter tes factures ...

avatar Sindanarie | 

@totoguile

Mais quelle inutilité ! Quelle bande de nazes

avatar Thaasophobia | 

@Sindanárië

Rien de nouveau sous le soleil...

avatar laraigneegypsymontealagouttiere | 

Même le système où il faut recopier des lettres est vraiment bancal quand on voit que certains sites génèrent des caractères parfois illisibles, que de temps perdu 😡

avatar jb18v | 

Aussi l’impression d’entraîner une entité numérique infernale 😆

avatar ErGo_404 | 

Du coup pour les fermes de bots il suffira d'acheter des clés en grande quantité pour faire des fermes à clics automatisées.

Mais Cloudflare va nous protéger avec leur réseau mondial, ils détecteront les fermes. Et du coup leur solution sera propriétaire pour que l'on bénéficie de leur "protection" et la vraie protection ne viendra plus de la clé, mais du fait que l'on paye ou non un abonnement à cloudflare.
Sans compter qu'avec ces clés il y a des chances pour qu'un identifiant unique à l'utilisateur ressorte et donc qu'il y ait des fuites de données personnelles.

avatar Florent Morin | 

Le principe de l’authentification biométrique est bien vu. 👍

avatar cybercooll | 

Pourquoi les sites qui utilisent la V2 de recaptcha ne migrent pas vers la V3?
Je comprends ceux qui ne veulent pas utiliser recaptcha, mais pour ceux qui utilisent déjà une vieille version je comprends pas

avatar xDave | 

@cybercooll

voir ma réponse plus bas, comme dit l'article, quid de l'efficacité réelle;.
Ajouté une méconnaissance de la v3 (bizarre y a rien qui apparaît), c'est pénible le tracking de google, pas de budget pour refaire les formulaires …

avatar radeon | 

Bientôt le test d’urine pour accéder à du contenu

avatar ech1965 | 

ou un test pcr ou une attestation de vaccination ( la clé publique du truc détectable via 5G qu'ils nous ont inocculé) ;-)

avatar Minileul | 

Il y a FlareSolverr qui peux faire ça automatiquement quand ils sont simple

Captcha Solvers

⚠️ At this time none of the captcha solvers work. You can check the status in the open issues. Any help is welcome.

avatar xDave | 

"Google prétend avoir abandonné l’approche visuelle, au profit d’une troisième génération du système reCaptcha basée sur l’observation du comportement de l’utilisateur, mais les tests de reconnaissance d’objets restent courants."

Pourquoi "prétend"? Il n'y a effectivement plus d'image avec la v3.
En revanche l'efficacité du système est à vérifier en effet.

Et au final, je constate que les spammeurs trouvent leur chemin en général par d'autres biais (pour bombarder une adresse mail), un pot de miel et un formulaire un peu particulier calment pas mal les robots.

avatar jackhal | 

Quand tu as un VPN activé et que tu vas sur Google, tu peux te taper ce bon vieux CAPTCHA de merde avec les bouches d’incendie, bus, vélos, cheminées, passages piétons, collines et compagnie. Généralement en boucle, puisqu’en plus, il ne fait même pas correctement ce qu’il est censé faire.

avatar xDave | 

@jackhal

Sur la recherche de Google?
Ah
Ca vient du VPN?

avatar jb18v | 

Oui parce que vu depuis le serveur Google, de nombreux utilisateurs du même VPN ont la même IP : cela fait donc plus d'activité qu'un utilisateur isolé avec sa propre IP "classique" fournie par le FAI. Cela dit je le constate plus sur Youtube que sur la page de recherche Google en réalité.

avatar xDave | 

C’est sûr qu’entre les captcha et les fenêtres RGPD l’expérience utilisateur en prend un sérieux coup

avatar dolbyEX | 

Et pour une personne aveugle comme moi…

avatar Eyquem | 

Se loguer sur un site devient vraiment pénible, entre la double authentification, le code envoyé par mail et les horribles captchas où il faut sélectionner sur 3 pages des bateaux etc., il faudra bientôt faire un scan rétinien pour se connecter 🤦‍♂️

avatar Sindanarie | 

@Eyquem

Ou bien par l’haleine comme dans Alien 4.
Tu bouffes une raclette et c’est fini pour le déverrouillage 😄

avatar cosmoboy34 | 

Ce serait intéressant de voir Apple s’attaquer au problème et l’envisager d’une manière simple

CONNEXION UTILISATEUR