MacGeneration

Cloudflare veut (encore) remplacer les CAPTCHA

Anthony Nelzin-Santos |

Quelle photo contient un vélo ? Trouvez les bouches d’incendie ! Placez ces objets sans queue ni tête dans le bon sens. Si vous ressentez une panique existentielle profonde à la lecture de ces phrases, vous avez déjà utilisé un test de défi-réponse CAPTCHA, censé prouver que vous n’êtes pas un robot. Après avoir essayé d’imposer son propre système de CAPTCHA, l’entreprise d’infrastructure numérique Cloudflare ambitionne de les rendre obsolètes.

Image Cloudflare.

Les CAPTCHA, ces « tests de Turing publics complètement automatisés pour faire la part entre les machines et les humains », n’ont jamais été aussi compliqués. Google prétend avoir abandonné l’approche visuelle, au profit d’une troisième génération du système reCaptcha basée sur l’observation du comportement de l’utilisateur, mais les tests de reconnaissance d’objets restent courants.

Le système reCaptcha transforme les visiteurs des sites web en microtâcherons qui nourrissent la machine algorithmique de Google. La première génération alimentait les systèmes de reconnaissance optique des caractères, la seconde assiste les systèmes de reconnaissance des objets de voitures qui ne sont définitivement pas autonomes. « Environ 500 années-humain sont gâchées chaque jour » par ces systèmes, estime Cloudflare.

Dire qu’elle avait tenté d’imposer son propre système ! Mais hCaptcha, qui n’était rien d’autre qu’un système d’étiquetage des données destinées au machine learning, s’est révélé être un échec. L’entreprise américaine, notamment connue pour son immense réseau de diffusion de contenu, effectue donc un virage sur l’aile. Si ce n’est pas son système de CAPTCHA, ce ne sera aucun système de CAPTCHA, mais un système de CAP.

CAP ? Cryptographic Attestation of Personhood, c’est-à-dire « attestation cryptographique de la qualité de personne » dans la langue de Clio. « Une véritable personne devrait être capable de toucher ou de regarder son appareil pour prouver qu’elle est humaine », explique Cloudflare, « sans révéler son identité ». Il s’agit de prouver sa qualité de personne humaine sans dévoiler son identité personnelle.

Ce système repose pour le moment sur l’utilisation d’une clé de sécurité, comme les clés de Yubikey. La page de démonstration de Cloudflare montre l’intérêt du système :

  • la page demande une attestation cryptographique ;
  • l’utilisateur clique sur le bouton « Je suis humain » pour répondre ;
  • si la clé de sécurité est déjà branchée, il doit seulement l’effleurer pour obtenir son sésame.
L’obtention d’un CAP, ici dans la dernière version de Safari, avec une clé Yubikey 5ci.

À condition de posséder une clé de sécurité, la procédure prend un clic et deux secondes, et ne demande aucune configuration spécifique. Cloudflare se moque du modèle précis de clé, et même de savoir si elle est correctement configurée, tant qu’elle provient d’un fabricant de confiance. Brancher une clé de sécurité, et la toucher pour l’activer, suffit à prouver qu’une personne est devant l’écran.

« L’attestation n’est pas liée à l’appareil de l’utilisateur », explique Cloudflare. Le principal obstacle est bien sûr la possession d’une clé, mais l’entreprise prévoit de prendre en charge d’autres méthodes d’authentification compatibles avec le protocole WebAuthn, qui prévient la collecte de données biométriques. Le capteur Touch ID d’un Mac et le capteur Face ID d’un iPhone pourraient ainsi servir de sésame.

Sans le soutien des fabricants d’appareils, et surtout d’Apple et de Google, ce nouveau protocole ne dépassera pas le stade de l’expérimentation. Et même s’il devait être adopté, il n’empêchera pas les opérations des fermes à clic. Mais s’il permet de réduire les nuisances liées aux CAPTCHA qui reviennent et reviennent encore avec des questions de plus en plus absurdes…

Sur iPhone | Sur Android
Accédez aux commentaires de l'article