Cloudflare, que vous connaissez peut-être en tant que fournisseur de services DNS ou en tant que société vous expliquant pourquoi le site Web sur lequel vous avez cliqué ne se charge pas, souhaite remplacer la «folie» des CAPTCHA sur le Web par un système entièrement nouveau.
Les CAPTCHA sont ces tests que vous devez passer, souvent lorsque vous essayez de vous connecter à un service, qui vous demandent de cliquer sur des images de choses comme des bus, des passages pour piétons ou des vélos pour prouver que vous êtes un humain. (CAPTCHA, si vous ne le saviez pas, formation référencement Google signifie «Test de Turing public complètement automatisé pour séparer les ordinateurs et les humains.») Le problème est qu’ils ajoutent beaucoup de friction à l’utilisation du Web et peuvent parfois être difficiles à résoudre – I Je suis sûr que je ne suis pas la seule personne à avoir échoué de manière frustrante à un CAPTCHA parce que je n’ai pas vu ce coin de passage pour piétons sur une seule image.
Dans un blog, Cloudflare dit qu’il vise à «se débarrasser complètement des CAPTCHA» en les remplaçant par une nouvelle façon de prouver que vous êtes un humain en touchant ou en regardant un appareil à l’aide d’un système qu’il appelle « Attestation cryptographique de la personnalité. » À l’heure actuelle, il ne prend en charge qu’un nombre limité de clés de sécurité USB telles que YubiKeys, mais vous pouvez tester le système Cloudflare par vous-même dès maintenant sur le site Web de l’entreprise.
Je l’ai essayé et cela a très bien fonctionné. Tout ce que j’avais à faire était de cliquer sur le bouton proéminent «Je suis un humain (bêta)» sur le site, puis de suivre quelques invites pour sélectionner ma clé de sécurité, puis d’appuyer dessus, puis d’autoriser le site à accéder à la marque et au modèle du clé. Quand je l’ai fait, le système m’a fait signe (même si cela m’a juste ramené au blog).
L’ensemble du processus a duré quelques secondes, et je dois admettre que c’était vraiment bien de ne pas intriguer sur des images granuleuses de bus et d’objets ressemblant à des bus. Et en plus de la rapidité de tout cela, cette nouvelle méthode pourrait avoir un avantage d’accessibilité majeur, car les personnes ayant une déficience visuelle pourraient ne pas être en mesure de remplir les CAPTCHA dans leur forme actuelle.
Voici le «pitching» de l’entreprise sur ce qui se passe dans les coulisses pour établir que vous êtes un humain via sa nouvelle méthode:
La version courte est que votre appareil dispose d’un module sécurisé intégré contenant un secret unique scellé par votre fabricant. Le module de sécurité est capable de prouver qu’il possède un tel secret sans le révéler. Cloudflare vous demande une preuve et vérifie que votre fabricant est légitime.
Vous pouvez lire une explication beaucoup plus détaillée sur le blog de l’entreprise.
Bien que ce soit une idée intrigante, ce n’est peut-être pas la fin des CAPTCHA tels que nous les connaissons pour le moment. D’une part, vous ne verrez probablement pas l’invite dans de nombreux endroits, car Cloudflare dit qu’il ne s’agit que d’une expérience pour le moment, disponible « sur une base limitée dans les régions anglophones ». Et dans son état actuel, il ne fonctionne qu’avec un ensemble limité de matériel: YubiKeys, HyperFIDO keys et Thetis FIDO U2F keys.
Cloudflare promet qu’il «envisagera d’ajouter d’autres authentificateurs dès que possible». Cela pourrait éventuellement s’étendre à votre téléphone: Cloudflare suggère la possibilité de mettre un téléphone sur son ordinateur pour passer une signature sans fil utilisant NFC. Google peut désormais traiter les iPhones et les téléphones Android comme des clés de sécurité physiques; Si Google et Apple adhéraient à la méthode de Cloudflare, cela pourrait réduire considérablement la barrière à l’entrée pour l’utiliser, car les smartphones sont beaucoup plus courants que les clés de sécurité.
Cependant, le système de Cloudflare peut en fait être une pire solution, selon un critique. Comme le souligne Ackermann Yuriy (PDG du cabinet de conseil Webauthn Works), «l’attestation ne prouve rien d’autre que le modèle de l’appareil», ce qui signifie qu’elle ne prouve pas réellement si une personne utilisant un appareil pour l’authentification est en fait un humain.
Cloudflare l’admet essentiellement dans son propre blog, affirmant qu’un oiseau qui boit (ces jouets d’oiseaux qui plongent leur bec dans l’eau à plusieurs reprises) pourrait appuyer sur un capteur tactile sur une clé de sécurité, réussissant ainsi le test d’authentification. Si le but des CAPTCHA est d’empêcher les fermes de robots de submerger les sites Web, nous pouvons Il faut se demander si les fermes de robots équipées de dispositifs de clé de sécurité truqués par le jury (ou pire) en profiteront.
Cloudflare n’est pas toujours positivement associé aux CAPTCHA; dans un exemple récent, l’entreprise est passée du reCAPTCHA de Google à un service de hCaptcha en avril 2020, et certaines personnes n’étaient pas fans:
Les CAPTCHA supposent également que les propriétaires de sites Web souhaitent autoriser un trafic relativement anonyme, mais l’identité anonyme peut ne pas être pertinente si un site Web possède votre identité réelle grâce aux informations de connexion que vous avez fournies. Et avec la récente poussée contre le ciblage publicitaire, motivée en grande partie par l’énorme nouvelle fonctionnalité de confidentialité d’Apple dans iOS 14.5 qui demande aux utilisateurs s’ils souhaitent laisser chaque application les suivre sur le Web, il est possible que les fournisseurs de sites Web se tournent de toute façon davantage vers les connexions.
Bien que cela ressemble certainement à un problème de devoir potentiellement gérer encore plus de connexions (ce qui est beaucoup plus facile à faire avec un excellent gestionnaire de mots de passe!), Ce changement pourrait, contre-intuitivement, avoir le potentiel avantage de nous pousser vers un avenir sans mot de passe encore plus tôt. Si plus de services poussent pour des connexions directes, cela pourrait conduire à un plus grand nombre d’entre eux prenant en charge les clés de sécurité au lieu d’un mot de passe. Et davantage de sites prenant en charge les clés de sécurité pourraient faire pression sur d’autres pour les prendre également en charge, comme la tendance que nous constatons à l’authentification à deux facteurs avec les téléphones.
Bien que nous n’en soyons pas encore à cet avenir sans mot de passe, le remplacement potentiel de Cloudflare par le CAPTCHA pourrait être un premier pas dans cette direction.