Avec CloudFlare, iOS 16 veut nous débarrasser des CAPTCHAs

Mickaël Bazoge |

Il n'est pas humain de forcer les internautes à dénicher les bateaux, les taxis ou les feux de circulation pour prouver à un bête service web qu'il a en face de lui un humain ! C'est pourtant le boulot ingrat des CAPTCHAs, dont Apple veut la peau. Durant la dernière WWDC, le constructeur de Cupertino a confirmé sa volonté de standardiser le protocole Privacy Pass pour remplacer une bonne fois pour toutes ces fichus tests de Turing.

Spoiler alert.

Pour Apple, la preuve de son humanité peut résider dans la possession d'un smartphone que l'on déverrouille avec l'aide d'une empreinte digitale ou avec son visage, ou dans celle d'un compte sur l'App Store par exemple.

Privacy Pass : Apple veut aussi la peau des CAPTCHAs

Privacy Pass : Apple veut aussi la peau des CAPTCHAs

Cloudflare, partenaire d'Apple dans cette aventure, a mis en ligne une API gratuite (et en bêta), Turnstile, pour permettre aux développeurs de sites web de vérifier l'humanité d'un internaute avec l'aide d'un jeton d'authentification (Private Access Tokens). Turnstile exploite certaines données de la session web, comme le user agent ou les caractéristiques du navigateur pour valider l'utilisateur sans avoir à lui présenter un CAPTCHA.

Dans iOS 16 et macOS Ventura, le navigateur transfère la demande au serveur d'attestation iCloud (en retirant au passage les informations d'identification du site à l'origine de la demande). Si tout est en règle, le serveur d'attestation signe la demande et l'envoie au fournisseur de jetons, là aussi en expurgeant les données d'identification de l'appareil à l'origine de la demande.

La mise à disposition de cette API devrait permettre de réduire le nombre de CAPTCHAs, au moins pour les possesseurs d'appareils Apple. Ce protocole Privacy Pass est déjà à l'œuvre pour la fonction Relais Privé, dont CloudFlare est aussi un des fournisseurs. L'option est activée par défaut dans iOS 16 (Profil > Mot de passe et sécurité, puis tout en bas du panneau Validation automatique). On peut tester le Privacy Pass sur le site du service hCaptcha.

👉 Pour tout savoir des fonctions de sécurité et de confidentialité d'iOS 16, direction notre nouveau livre Les nouveautés d'iOS 16 ! Profitez-en, il est toujours proposé au prix de lancement de 7,99 €.

avatar Minileul | 

Pas mal j’avais oublié cette fonction avec iOS 16. J’utilisais FlareSolverr avant mais j’avais arrêter car il ne fonctionne pas tout le temps

avatar Gravoche67 | 

Malgré cette fonction cochée, j’ai tjs des Captchas à remplir.

avatar Minileul | 

@Gravoche67

Announcing Turnstile, a user-friendly, privacy-preserving alternative to CAPTCHA
28/09/2022

Ça vient d’être annoncé, il faut attendre que les sites web utilise l’API ça ne va pas être immédiat

avatar Mrleblanc101 | 

Meme chose, ça ne marche pas de mon côté sur iOS 16.1

avatar doume | 

D’autant que certains captchas sont utilisés pour de l’e-learning d’IA, en fait l’utilisateur apprend ainsi à la machine à trier des images …

avatar armandgz123 | 

@doume

Je ne sais pas si c’est vrai ça… comme c’est toujours les mêmes images depuis des années

avatar julien74 | 

@doume

Mais quelle purge d’essayer de distinguer un pont ou une bouche d’incendie sur une image à la qualité plus que médiocre, et où même un humain se demande « y a un vélo au font la bas?? ».

avatar 406 | 

Surtout que c est un ordi qui demande si on est bien humain…

avatar koko256 | 

Je n'aime pas trop ces services des gamma qui envoient des données nous concernant. Il y a au moins l'adresse IP. Évidemment pour icloud, l'iphone le fait déjà mais c'est tout de même pénible. Et vu qu'il n'y a pas les données du site dans la requête, quelqu'un peut faire un serveur de demande de jetons et les diffuser à des bots (contre quelques sous).

avatar cecemf | 

MDR je viens de faire le test est ça pas marcher il m’a demander de trouver les trois lions 🦁 LOL

avatar debione | 

"Turnstile exploite certaines données de la session web, comme le user agent ou les caractéristiques du navigateur pour valider l'utilisateur "

Et moi qui croyait bêtement qu'Apple était pour la protection des données de ces utilisateurs...

avatar bibi81 | 

Et moi qui croyait bêtement qu'Apple était pour la protection des données de ces utilisateurs...

Bah oui elle protège les données des autres mais pas d'elle-même (c'est mieux si Apple peut être la seule à en faire un business).

avatar nykk | 

"Dans iOS 16 et macOS Ventura, le navigateur transfère la demande au serveur d'attestation iCloud"
Et si on n'utilise pas iCloud ?

avatar r e m y | 

On ne peut pas utiliser iOS sans un compte iCloud...
(MacOS c'était possible il y a encore quelque temps, mais je ne sais pas ce qu'il en est avec Ventura)

avatar nmo | 

“ On ne peut pas utiliser iOS sans un compte iCloud”

Si.

Certes avec des fonctions en moins, mais on peut.

Sans compte App Store à la rigueur c’est un peu compliqué, à moins de ne pas avoir besoin d’installer d’apps.

J’en vois régulièrement en entreprise, des utilisateurs d’iPhone ou d’iPad sans compte iCloud.

avatar r e m y | 

Faudra m'expliquer comment. Je n'ai jamais réussi à configurer un iPhone sans le lier à un compte iCloud.
J'ai un vieil iPhone 6S que je voulais utiliser en dépannage et ne pas le lier à un quelconque iCloud. Je n'ai jamais pu. Tant que on n'a pas saisi un compte iCloud, impossible d'activer l'iPhone. J'ai dû créer un nouveau compte iCloud (pour ne pas utiliser l'un des comptes que j'utilise réellement)

avatar mrsade | 

Si ils pouvaient faire pareil pour ces p"""tain de cookies que t'es obligé de te faire ch"""er a
refuser sur chaque site pour garder un "minimum" de vie privé…
Je reve de pouvoir choisir mes preferences en amont sur mon device et que ca se répercute sur tout ces sites…

avatar Minileul | 

@mrsade

J’utilise AdGuard Pro et plus de demande de cookies 🍪

avatar heero | 

Puis les CAPTCHAs où il faut cocher des images c'est généralement l'ancienne version des CAPTCHAs de Google, dans leur nouvelle version (3) cela ce fait derrière. Et c'est un score qui va determiner si un utilisateur est ou non un robot.

A voir si les anciens CAPTCHAs pourront fonctionner avec ce nouveau protocol Apple...

avatar vicento | 

C’est un peu tard pour limiter / supprimer le Captchas.
On a tous fait (gratuitement) un boulot phénoménal pour entraîner des IAs de Google a « voir » le contenu des images.

CONNEXION UTILISATEUR