Privacy Pass : Apple veut aussi la peau des CAPTCHAs

Anthony Nelzin-Santos |

Pour créer un compte ici, vous devez cliquer sur les images représentant des palmiers, à moins qu’il ne s’agisse de feux de circulation. Pour vous connecter là, vous devez faire glisser un carré dans une image, rapidement mais pas trop. Pour remplir un formulaire plus loin, vous devez déchiffrer la pierre de Rosette en sautant à clochepied. Soyez rassurés, les ingénieurs d’Apple sont au moins aussi agacés par les CAPTCHAs que vous.

Image Apple.

Ces tests de Turing prétendent distinguer les humains des ordinateurs, mais sont régulièrement défaits par les progrès de la recherche informatique. Qu’ils présentent des caractères ou des images, ils conservent le même intérêt, celui de vous faire travailler gratuitement. Les CAPTCHAs textuels étaient utilisés pour contrôler le résultat des outils de reconnaissance optique de caractères, et les CAPTCHAs photographiques participent à la classification des données utilisées dans le machine learning et la conduite autonome.

Google veut repousser les critiques avec son nouveau mécanisme reCAPTCHA, censé utiliser des technologies sophistiquées pour analyser le comportement du navigateur, et réduire le CAPTCHA à une coche. Sauf que ces techniques reposent surtout sur le pistage de l’adresse IP et la prise d’empreinte du navigateur, et ne remplacent pas les tests plus classiques, qui restent difficilement accessibles aux personnes utilisant des lecteurs d’écran.

Avec le concours de Fastly et de Cloudflare, mais aussi de Google, Apple veut standardiser le protocole Privacy Pass pour remplacer définitivement les CAPTCHAs. La firme de Cupertino pense que la possession d’un appareil, d’une empreinte ou d’un visage pour le déverrouiller, et d’un compte pour télécharger des applications depuis l’App Store ou synchroniser les données de Safari est une preuve suffisante d’humanité.

Le protocole Privacy Pass implique deux acteurs, un fournisseur qui procure les jetons attestant de la fiabilité du navigateur, et un validateur qui vérifie le jeton produit par le fournisseur. Apple s’inspire du système Oblivious DoH, conçu en partenariat avec Cloudflare, pour anonymiser les échanges par l’intermédiaire d’un serveur d’attestation iCloud.

Avant de proposer un CAPTCHA, un site peut utiliser la méthode HTTP PrivateToken pour exiger un personal access token, c’est-à-dire un jeton d’authentification provenant d’un fournisseur de confiance. Dans iOS 16 et macOS Ventura, le navigateur pourra transférer la demande au serveur d’attestation iCloud, en retirant les informations qui permettent d’identifier le site à l’origine de la demande.

Apple vérifie la requête : si des milliers d’autres demandes proviennent de la même adresse IP, l’appareil fait partie d’une ferme de serveurs, et si des centaines de requêtes proviennent du même appareil, il a probablement été détourné par un botnet. Si tout semble en règle, le serveur d’attestation signe la demande et l’envoie au fournisseur de jetons, cette fois en retirant les informations permettant d’identifier l’appareil à l’origine de la demande.

Image Apple.

Le fournisseur fait implicitement confiance à Apple : la demande repart dans l’autre sens, les données d’identification sont progressivement réintégrées, et finalement le site valide le jeton et laisse entrer l’utilisateur. Apple connait l’identité de l’utilisateur mais ne connait pas celle du site, le fournisseur connait l’identité du site mais pas celle de l’utilisateur, la confidentialité des échanges est préservée.

Fastly et Cloudflare ont déjà implémenté le protocole Privacy Pass, que vous pouvez aussi tester sur le site du service hCaptcha. D’autres fournisseurs de jetons pourront s’inscrire sur le portail Apple Business Register d’ici à la fin de l’année. Une seule condition, un fournisseur doit opérer au moins cent serveurs, pour empêcher l’identification d’un site par son choix de fournisseur.

Apple utilise déjà le protocole Privacy Pass pour authentifier les utilisateurs du relai privé. Google implémente cette technologie sous le nom de Trust Tokens, mais refuse de la considérer comme une solution de remplacement des CAPTCHAs. En lieu et place, la plus grande régie publicitaire de la planète les utilise pour vérifier que l’utilisateur est bien humain… pour ne pas gâcher des affichages publicitaires face à des robots.

Passkeys : le futur sans mots de passe se conjugue au présent

Passkeys : le futur sans mots de passe se conjugue au présent

Pistage publicitaire : le fingerprinting dans la ligne de mire d

Pistage publicitaire : le fingerprinting dans la ligne de mire d'Apple

Cloudflare veut (encore) remplacer les CAPTCHA

Cloudflare veut (encore) remplacer les CAPTCHA


avatar macbook60 | 

Franchement les captchas ça soule cela gâche la navigation

avatar TrollMan06 | 

@macbook60

Tout comme la bannière des cookies

avatar Sindanárië | 

@TrollMan06

Oulah ça aussi…

avatar Paquito06 | 

Encore, on ne peut pas trop se tromper avec ceux cités. Les lettres/chiffres, inclinés, arrondis, minuscules/majuscules, barrés/effacés, vraiment un truc de tordus 😂 Mes preferes sont ceux qui proposent un peu d’algebre 🤓

avatar onehumanonearth | 

C’est surtout extrêmement tordus puisque ça ne prouve absolument pas que l’utilisateur n’est pas un robot en revanche des millards de petite mains enrichissent l’intelligence artificielle de Google et cela gratuitement. C’est comme les caisses automatiques, vous faites le boulot et en échange bah rien… vous économiser à la boîte des milliards.

avatar Lucas | 

@onehumanonearth

+ 1000 je trouve ça extrêmement peu éthique ce travail gratuit et déguisé à l’insu des usagers… en espérant que l’UE s’en empare bientôt (quand il existe des alternatives) !

avatar DG33 | 

@onehumanonearth

Dans l’écrasante majorité des cas il reste un humain (debout, piétinant) pour plusieurs caisses automatiques 😉

avatar KimchiMan | 

@DG33

Effectivement, Un humain pour cinq caisses automatiques. Ça fait quatre chômeurs

avatar bibi81 | 

Effectivement, Un humain pour cinq caisses automatiques. Ça fait quatre chômeurs

C'est ridicule, tu ne vas pas au restaurant à chaque fois que tu manges, tu n'emploies personne pour faire ton ménage. De combien de chômeurs es-tu responsable en faisant ces tâches toi-même ?
Pourquoi certaines choses devraient être faite contre salaire et pas d'autres ? Où est la limite ?

Perso je préfère avoir plusieurs employés dans les rayons et qui savent répondre aux questions plutôt que d'avoir des caissiers qui ne sont là que pour prendre ton argent...

avatar oomu | 

@DG33

oui, je suis d'accord avec vous, nous devrions supprimer ces plusieurs caisses automatiques pour avoir à nouveau dans les magasins des lieux de vie et d'échanges avec des humains suffisamment nombreux pour gérer et s'occuper du lieu.

avatar Lucas | 

« Google implémente cette technologie mais refuse de la considérer comme une solution de remplacement des CAPTCHAs. »

« [Google] les utilise pour vérifier que l’utilisateur est bien humain… pour ne pas gâcher des affichages publicitaires face à des robots. »

Quel cynisme, c’est incroyable et pas surprenant, tout ça pour faire du fric ou di travail gratuit on peut comprendre, mais là c’est se foutre du monde…

avatar Lucas | 

Vivement que Privacy Pass soit généralisé et qu’Apple nous débarrasse des CAPTCHAs !

avatar lou1987 | 

Les captcha de Google existe simplement pour nous faire analyser à leur place des composantes de la route pour un futur projet de conduite autonome 😑🤷‍♂️

avatar Paquito06 | 

@lou1987

Ca se tient! 👍🏼

avatar Amaczing | 

@lou1987

Vu la gueule des images, je ne donne pas cher de la fiabilité des services Google développés.

avatar mat16963 | 

@Amaczing

Pourtant ce sont justement des images de street view (Google Maps) que l’IA a de la peine à analyser…
C’est pour ça que très souvent les questions tournent autour des obstacles sur la route (camion, etc), des feux de signalisation (reconnaissance des feux dans Google Maps) et des numéros de rue (fonction de Street View qui assigne automatiquement l’enseigne au bon endroit en reconnaissant les numéros de rue notamment)

avatar Willie Lamothe | 

Je veux moi aussi la peau des CAPTCHAs

avatar koko256 | 

Cela fait un peu Apple chevalier blanc mais cela ressemble aussi à une tentative de maintenir un contrôle sur l'authentification sur les sites avec un passage obligé par leurs serveurs, comme c'est le cas avec oauth, alors que le nouveau système à clé symétrique n'a plus besoin de serveur centralisé (éventuellement un disque réseau mais il y a beaucoup d'offres et le fournisseur ne sait rien de l'utilisation des clés). En plus avec l'authentification par clé, on n'a pas de problème de rechercher par force brute donc on n'a pas besoin de captcha.

avatar minipapy | 

@koko256

J’ai pas étudié le système, mais ça doit plutôt reposer sur de la cryptographie asymétrique que symétrique, non ?

avatar koko256 | 

@minipapy

Oui asymétrique mais on dit aussi clé (clé privée côté client et clé publique côté serveur).

avatar minipapy | 

@koko256

Oui, c'est simplement qu'il y a une coquille dans votre message initial qui parle de clé symétrique et non asymétrique. Etant donné que les deux existent, cela peut induire en erreur. ;)

avatar koko256 | 

@minipapy

Ah oui je viens de la voir merci :) Depuis peu l'app ne m'affiche plus les messages organisés en discussion donc c'est difficile de s'y retrouver.

avatar minipapy | 

@koko256

En effet, j'ai constaté le même bug. Cela rend les conversations difficilement compréhensibles. Je comprends le quiproquo du coup. :)

avatar oomu | 

@koko256

Apple propose ses services, à charge d'autres opérateurs de proposer des services tout aussi intéressants et que les sites webs tiers les utilisent.

autrement dit: pourquoi laisser les ricains avancer tout seuls ?

avatar koko256 | 

@oomu

Si seulement on ne laissait pas les ricains avancer tout seul...

avatar koko256 | 

Par contre cela sera toujours utile pour limiter les créations de compte ou les demandes administratives sur les serveurs officiels qui ne nécessitent pas de création de compte mais du coup, je ne suis pas sûr qu'un système qui trace les adresses IP soit suffisant.

avatar onkr | 

Et le petit bonhomme, on le range dans « animal » ?… ou pas ?

avatar v1nce29 | 

Ca dépend, l'AI a été entraînée par des antispecistes ou pas ?

avatar Almux | 

Simplifier les accès sécurisés (marre des tonnes de MP dont seul le Trousseau de Clefs peut se souvenir), d'accord... Mais rajouter une dépendance (servitude?) à iCloud... c'est agaçant*!

*Surtout qu'avec cette extériorisation, il suffit d'un câble coupé, ou d'un satellite endommagé, pour couper toute possibilité d'utiliser convenablement nos outils...

avatar Yoshi_1 | 

@Almux

Encore heureux qu’il ne suffit pas d’un câble coupé ou d’un satellite endommagé pour faire tomber un service, plutôt.

avatar Almux | 

Tout ce qui n'est pas en interne peut être coupé. Mais, si c'est juste un problème pour le streaming ou la navigation web, c'est pas si grave. Par contre, quand tout est dans le Cloud: adieu nos données!
Et avec les conflits mondiaux et/ou les "fiertés nationales", les belligérants en vogue ne vont pas se gêner de saboter les communications.

avatar Yoshi_1 | 

@Almux

Il y a une redondance. Il n’y a pas qu’un seul data center chez les hébergeurs…

avatar oomu | 

@Yoshi_1

si l'hébergeur veut bien se financer plusieurs centres

si l'utilisateur veut bien créer des instances de ces sites et les maintenir cohérentes avec des outils ou prestations (payantes)

Tout est possible

encore faut il qu'on le travaille

c'est un effort de longue haleine, à constamment nourrir. Et pas tout le monde le fait justement.

avatar oomu | 

@Almux

ça a déjà commencé en Ukraine

et la Chine pourrait être coupée du net facilement malgré sa taille, grace au travail sans faille du gouvernement chinois (moi je dis ? ils veulent pouvoir couper le net ? aidons les: coupons leur le net ! )

-
le net a été conçu pour être résilient et redondant, et les plateformes d'hébergements peuvent s'en servir

mais encore faut il le mettre en place. investir, construire, améliorer, et sans cesse corriger _tous_ les protocoles réseaux les uns après les autres pour :

- décentraliser (pas de contrôle étatique) : routages dynamiques, mesh, etc
- chiffrer point à point (pas de surveillance par un intermédiaire) : rsa, tls, pgp, ipsec, DNSsec, etc
- distribuer (pas de point d'échec unique qui emporte tout): blockchain, p2p, etc

Les "fiertés nationales" mèneront à la destruction d'internet. Le 21e siècle est parti pour être le siècle de la religion et du nationalisme, région par région. Absolument tout le monde y est entrainé.

avatar yasuo87 | 

@oomu

Personnellement je suis contre le fait de couper les accès à internet à n’importe quel pays. On a vu, avec les réseaux alternatifs et les bulles de Twitter, le danger de laisser les gens se noyer dans leur biais de confirmation en ne les laissant qu’avec des gens pensant comme eux.

avatar free00 | 

Pourquoi ne pas mettre en place des CAPTCHA utile ? Plutôt que regarder des ponts ou des feux, on pourrait résoudre des équations différentielles, calculer les valeurs propres du matrice, répondre à des questions cultures générales sur la santé, la nutrition, le sommeil, l'exercice physique ?

avatar yasuo87 | 

@free00

Parce qu’il faut faire des captcha que tout le monde peut résoudre

avatar bibi81 | 

Pourquoi ne pas mettre en place des CAPTCHA utile ?

Ils sont utiles !

avatar Amaczing | 

@bibi81

Utiles à faire chier oui.

avatar Gregoryen | 

Ah mais les captchas de chez Sony c’est une vraie torture !!!

avatar lepoulpebaleine | 

On résume :
- captcha
- cookies
- publicité
J’adore le web d’aujourd’hui.

avatar charlie105 | 

Si des centaines de requêtes viennent de la même IP, c’est aussi possible que la demande viennent de quelqu’un qui utilise un VPN. Habitant en Chine, je suis justement obligé d’en utiliser pour passer les captchas Google (qui ne passent pas le great firewall)

CONNEXION UTILISATEUR