Privacy Pass : Apple veut aussi la peau des CAPTCHAs
Pour créer un compte ici, vous devez cliquer sur les images représentant des palmiers, à moins qu’il ne s’agisse de feux de circulation. Pour vous connecter là, vous devez faire glisser un carré dans une image, rapidement mais pas trop. Pour remplir un formulaire plus loin, vous devez déchiffrer la pierre de Rosette en sautant à clochepied. Soyez rassurés, les ingénieurs d’Apple sont au moins aussi agacés par les CAPTCHAs que vous.
Ces tests de Turing prétendent distinguer les humains des ordinateurs, mais sont régulièrement défaits par les progrès de la recherche informatique. Qu’ils présentent des caractères ou des images, ils conservent le même intérêt, celui de vous faire travailler gratuitement. Les CAPTCHAs textuels étaient utilisés pour contrôler le résultat des outils de reconnaissance optique de caractères, et les CAPTCHAs photographiques participent à la classification des données utilisées dans le machine learning et la conduite autonome.
Google veut repousser les critiques avec son nouveau mécanisme reCAPTCHA, censé utiliser des technologies sophistiquées pour analyser le comportement du navigateur, et réduire le CAPTCHA à une coche. Sauf que ces techniques reposent surtout sur le pistage de l’adresse IP et la prise d’empreinte du navigateur, et ne remplacent pas les tests plus classiques, qui restent difficilement accessibles aux personnes utilisant des lecteurs d’écran.
Avec le concours de Fastly et de Cloudflare, mais aussi de Google, Apple veut standardiser le protocole Privacy Pass pour remplacer définitivement les CAPTCHAs. La firme de Cupertino pense que la possession d’un appareil, d’une empreinte ou d’un visage pour le déverrouiller, et d’un compte pour télécharger des applications depuis l’App Store ou synchroniser les données de Safari est une preuve suffisante d’humanité.
Le protocole Privacy Pass implique deux acteurs, un fournisseur qui procure les jetons attestant de la fiabilité du navigateur, et un validateur qui vérifie le jeton produit par le fournisseur. Apple s’inspire du système Oblivious DoH, conçu en partenariat avec Cloudflare, pour anonymiser les échanges par l’intermédiaire d’un serveur d’attestation iCloud.
Avant de proposer un CAPTCHA, un site peut utiliser la méthode HTTP PrivateToken pour exiger un personal access token, c’est-à-dire un jeton d’authentification provenant d’un fournisseur de confiance. Dans iOS 16 et macOS Ventura, le navigateur pourra transférer la demande au serveur d’attestation iCloud, en retirant les informations qui permettent d’identifier le site à l’origine de la demande.
Apple vérifie la requête : si des milliers d’autres demandes proviennent de la même adresse IP, l’appareil fait partie d’une ferme de serveurs, et si des centaines de requêtes proviennent du même appareil, il a probablement été détourné par un botnet. Si tout semble en règle, le serveur d’attestation signe la demande et l’envoie au fournisseur de jetons, cette fois en retirant les informations permettant d’identifier l’appareil à l’origine de la demande.
Le fournisseur fait implicitement confiance à Apple : la demande repart dans l’autre sens, les données d’identification sont progressivement réintégrées, et finalement le site valide le jeton et laisse entrer l’utilisateur. Apple connait l’identité de l’utilisateur mais ne connait pas celle du site, le fournisseur connait l’identité du site mais pas celle de l’utilisateur, la confidentialité des échanges est préservée.
Fastly et Cloudflare ont déjà implémenté le protocole Privacy Pass, que vous pouvez aussi tester sur le site du service hCaptcha. D’autres fournisseurs de jetons pourront s’inscrire sur le portail Apple Business Register d’ici à la fin de l’année. Une seule condition, un fournisseur doit opérer au moins cent serveurs, pour empêcher l’identification d’un site par son choix de fournisseur.
Apple utilise déjà le protocole Privacy Pass pour authentifier les utilisateurs du relai privé. Google implémente cette technologie sous le nom de Trust Tokens, mais refuse de la considérer comme une solution de remplacement des CAPTCHAs. En lieu et place, la plus grande régie publicitaire de la planète les utilise pour vérifier que l’utilisateur est bien humain… pour ne pas gâcher des affichages publicitaires face à des robots.
Passkeys : le futur sans mots de passe se conjugue au présent
Pistage publicitaire : le fingerprinting dans la ligne de mire d'Apple
Cloudflare veut (encore) remplacer les CAPTCHA
Franchement les captchas ça soule cela gâche la navigation
@macbook60
Tout comme la bannière des cookies
@TrollMan06
Oulah ça aussi…
Encore, on ne peut pas trop se tromper avec ceux cités. Les lettres/chiffres, inclinés, arrondis, minuscules/majuscules, barrés/effacés, vraiment un truc de tordus 😂 Mes preferes sont ceux qui proposent un peu d’algebre 🤓
C’est surtout extrêmement tordus puisque ça ne prouve absolument pas que l’utilisateur n’est pas un robot en revanche des millards de petite mains enrichissent l’intelligence artificielle de Google et cela gratuitement. C’est comme les caisses automatiques, vous faites le boulot et en échange bah rien… vous économiser à la boîte des milliards.
@onehumanonearth
+ 1000 je trouve ça extrêmement peu éthique ce travail gratuit et déguisé à l’insu des usagers… en espérant que l’UE s’en empare bientôt (quand il existe des alternatives) !
@onehumanonearth
Dans l’écrasante majorité des cas il reste un humain (debout, piétinant) pour plusieurs caisses automatiques 😉
@DG33
Effectivement, Un humain pour cinq caisses automatiques. Ça fait quatre chômeurs
Effectivement, Un humain pour cinq caisses automatiques. Ça fait quatre chômeurs
C'est ridicule, tu ne vas pas au restaurant à chaque fois que tu manges, tu n'emploies personne pour faire ton ménage. De combien de chômeurs es-tu responsable en faisant ces tâches toi-même ?
Pourquoi certaines choses devraient être faite contre salaire et pas d'autres ? Où est la limite ?
Perso je préfère avoir plusieurs employés dans les rayons et qui savent répondre aux questions plutôt que d'avoir des caissiers qui ne sont là que pour prendre ton argent...
@DG33
oui, je suis d'accord avec vous, nous devrions supprimer ces plusieurs caisses automatiques pour avoir à nouveau dans les magasins des lieux de vie et d'échanges avec des humains suffisamment nombreux pour gérer et s'occuper du lieu.
« Google implémente cette technologie mais refuse de la considérer comme une solution de remplacement des CAPTCHAs. »
« [Google] les utilise pour vérifier que l’utilisateur est bien humain… pour ne pas gâcher des affichages publicitaires face à des robots. »
Quel cynisme, c’est incroyable et pas surprenant, tout ça pour faire du fric ou di travail gratuit on peut comprendre, mais là c’est se foutre du monde…
Vivement que Privacy Pass soit généralisé et qu’Apple nous débarrasse des CAPTCHAs !
Les captcha de Google existe simplement pour nous faire analyser à leur place des composantes de la route pour un futur projet de conduite autonome 😑🤷♂️
@lou1987
Ca se tient! 👍🏼
@lou1987
Vu la gueule des images, je ne donne pas cher de la fiabilité des services Google développés.
@Amaczing
Pourtant ce sont justement des images de street view (Google Maps) que l’IA a de la peine à analyser…
C’est pour ça que très souvent les questions tournent autour des obstacles sur la route (camion, etc), des feux de signalisation (reconnaissance des feux dans Google Maps) et des numéros de rue (fonction de Street View qui assigne automatiquement l’enseigne au bon endroit en reconnaissant les numéros de rue notamment)
Je veux moi aussi la peau des CAPTCHAs
Cela fait un peu Apple chevalier blanc mais cela ressemble aussi à une tentative de maintenir un contrôle sur l'authentification sur les sites avec un passage obligé par leurs serveurs, comme c'est le cas avec oauth, alors que le nouveau système à clé symétrique n'a plus besoin de serveur centralisé (éventuellement un disque réseau mais il y a beaucoup d'offres et le fournisseur ne sait rien de l'utilisation des clés). En plus avec l'authentification par clé, on n'a pas de problème de rechercher par force brute donc on n'a pas besoin de captcha.
@koko256
J’ai pas étudié le système, mais ça doit plutôt reposer sur de la cryptographie asymétrique que symétrique, non ?
@minipapy
Oui asymétrique mais on dit aussi clé (clé privée côté client et clé publique côté serveur).
@koko256
Oui, c'est simplement qu'il y a une coquille dans votre message initial qui parle de clé symétrique et non asymétrique. Etant donné que les deux existent, cela peut induire en erreur. ;)
@minipapy
Ah oui je viens de la voir merci :) Depuis peu l'app ne m'affiche plus les messages organisés en discussion donc c'est difficile de s'y retrouver.
@koko256
En effet, j'ai constaté le même bug. Cela rend les conversations difficilement compréhensibles. Je comprends le quiproquo du coup. :)
@koko256
Apple propose ses services, à charge d'autres opérateurs de proposer des services tout aussi intéressants et que les sites webs tiers les utilisent.
autrement dit: pourquoi laisser les ricains avancer tout seuls ?
@oomu
Si seulement on ne laissait pas les ricains avancer tout seul...
Par contre cela sera toujours utile pour limiter les créations de compte ou les demandes administratives sur les serveurs officiels qui ne nécessitent pas de création de compte mais du coup, je ne suis pas sûr qu'un système qui trace les adresses IP soit suffisant.
Et le petit bonhomme, on le range dans « animal » ?… ou pas ?
Ca dépend, l'AI a été entraînée par des antispecistes ou pas ?
Simplifier les accès sécurisés (marre des tonnes de MP dont seul le Trousseau de Clefs peut se souvenir), d'accord... Mais rajouter une dépendance (servitude?) à iCloud... c'est agaçant*!
*Surtout qu'avec cette extériorisation, il suffit d'un câble coupé, ou d'un satellite endommagé, pour couper toute possibilité d'utiliser convenablement nos outils...
@Almux
Encore heureux qu’il ne suffit pas d’un câble coupé ou d’un satellite endommagé pour faire tomber un service, plutôt.
Tout ce qui n'est pas en interne peut être coupé. Mais, si c'est juste un problème pour le streaming ou la navigation web, c'est pas si grave. Par contre, quand tout est dans le Cloud: adieu nos données!
Et avec les conflits mondiaux et/ou les "fiertés nationales", les belligérants en vogue ne vont pas se gêner de saboter les communications.
@Almux
Il y a une redondance. Il n’y a pas qu’un seul data center chez les hébergeurs…
@Yoshi_1
si l'hébergeur veut bien se financer plusieurs centres
si l'utilisateur veut bien créer des instances de ces sites et les maintenir cohérentes avec des outils ou prestations (payantes)
Tout est possible
encore faut il qu'on le travaille
c'est un effort de longue haleine, à constamment nourrir. Et pas tout le monde le fait justement.
@Almux
ça a déjà commencé en Ukraine
et la Chine pourrait être coupée du net facilement malgré sa taille, grace au travail sans faille du gouvernement chinois (moi je dis ? ils veulent pouvoir couper le net ? aidons les: coupons leur le net ! )
-
le net a été conçu pour être résilient et redondant, et les plateformes d'hébergements peuvent s'en servir
mais encore faut il le mettre en place. investir, construire, améliorer, et sans cesse corriger _tous_ les protocoles réseaux les uns après les autres pour :
- décentraliser (pas de contrôle étatique) : routages dynamiques, mesh, etc
- chiffrer point à point (pas de surveillance par un intermédiaire) : rsa, tls, pgp, ipsec, DNSsec, etc
- distribuer (pas de point d'échec unique qui emporte tout): blockchain, p2p, etc
Les "fiertés nationales" mèneront à la destruction d'internet. Le 21e siècle est parti pour être le siècle de la religion et du nationalisme, région par région. Absolument tout le monde y est entrainé.
@oomu
Personnellement je suis contre le fait de couper les accès à internet à n’importe quel pays. On a vu, avec les réseaux alternatifs et les bulles de Twitter, le danger de laisser les gens se noyer dans leur biais de confirmation en ne les laissant qu’avec des gens pensant comme eux.
Pourquoi ne pas mettre en place des CAPTCHA utile ? Plutôt que regarder des ponts ou des feux, on pourrait résoudre des équations différentielles, calculer les valeurs propres du matrice, répondre à des questions cultures générales sur la santé, la nutrition, le sommeil, l'exercice physique ?
@free00
Parce qu’il faut faire des captcha que tout le monde peut résoudre
Pourquoi ne pas mettre en place des CAPTCHA utile ?
Ils sont utiles !
@bibi81
Utiles à faire chier oui.
Ah mais les captchas de chez Sony c’est une vraie torture !!!
On résume :
- captcha
- cookies
- publicité
J’adore le web d’aujourd’hui.
Si des centaines de requêtes viennent de la même IP, c’est aussi possible que la demande viennent de quelqu’un qui utilise un VPN. Habitant en Chine, je suis justement obligé d’en utiliser pour passer les captchas Google (qui ne passent pas le great firewall)