IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

« Il est temps de mettre fin à cette folie » : Cloudflare voudrait rendre obsolètes les CAPTCHA

Le , par Stéphane le calme

641PARTAGES

16  0 
Cloudflare teste la possibilité que des clés de sécurité remplacent les CAPTCHA. Il s'agit d'une famille de tests de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur. Les CAPTCHA sont entièrement automatisés, ne nécessitant que quelques secondes du temps de l'utilisateur. Le but est de diminuer le coût associé à la détection manuelle de l'identité des utilisateurs et d'augmenter les performances, c'est-à-dire le nombre de formulaires soumis par de vrais humains traités par le site web par unité de temps.

Le CAPTCHA (acronyme de l'anglais « Completely Automated Public Turing test to tell Computers and Humans Apart ») est une mesure de sécurité de type « authentification par question-réponse ». La vérification utilise généralement la capacité d'analyse d'image ou de son de l'être humain. Au début, un test CAPTCHA pouvait être constitué de deux parties : une séquence aléatoire de lettres et/ou de chiffres qui apparaissent de manière déformée, et une zone de texte. Pour réussir le test, il vous suffisait de saisir les caractères de l'image dans la zone de texte. Certains sites web préféraient afficher une image qui contenait une question mathématique.

Mais en 2017, cette procédure visuelle a été dépassée lorsque Google a introduit un Captcha n'utilisant qu'une simple case à cocher. Google a expliqué analyser l'ensemble du comportement de l'utilisateur précédent le clic. On peut supposer que cela comprend notamment des techniques de suivi de la souris. C'est alors que sont nés les tests où l'internaute doit regarder des images et sélectionner des objets tels que des voitures, des ponts ou des vélos.

Et Cloudflare voudrait s'en débarrasser. Par le biais de Thibault Meunier, ingénieur de recherche au sein de la structure, l'entreprise explique :

« Sur la base de nos données, il faut en moyenne 32 secondes à un utilisateur pour terminer un défi CAPTCHA. Il y a 4,6 milliards d'utilisateurs d'Internet dans le monde. Nous supposons qu'un utilisateur Internet typique voit environ un CAPTCHA tous les 10 jours.

« Ce calcul très simple du dos de l'enveloppe équivaut à quelque part de l'ordre de 500 années humaines gaspillées chaque jour – juste pour que nous puissions prouver notre humanité.

« Aujourd'hui, nous lançons une expérience pour mettre fin à cette folie. Nous voulons nous débarrasser complètement des CAPTCHA. L'idée est assez simple: un vrai humain devrait être capable de toucher ou de regarder son appareil pour prouver qu'il est humain, sans révéler son identité. Nous voulons que vous puissiez prouver que vous êtes humain sans révéler quel humain vous êtes ! Vous pouvez demander si cela est même possible ? Et la réponse est oui ! Nous commençons avec des clés USB fiables (comme YubiKey) qui existent depuis un certain temps, mais de plus en plus de téléphones et d'ordinateurs sont équipés par défaut de cette capacité ».

CAPTCHA sans image : attestation cryptographique du statut de Personne (Personhood)

La solution proposée par Cloudflare une attestation cryptographique du statut de Personne. Du point de vue de l'utilisateur, cette attestation fonctionne comme suit:
  1. L'utilisateur accède à un site Web protégé par une attestation cryptographique du statut de Personne, tel que cloudflarechallenge.com.
  2. Cloudflare lance un test.
  3. L'utilisateur clique sur Je suis humain (version bêta) et est invité à indiquer un dispositif de sécurité.
  4. L'utilisateur décide d'utiliser une clé de sécurité matérielle.
  5. L'utilisateur branche l'appareil sur son ordinateur ou l'appuie sur son téléphone pour une signature sans fil (à l'aide de NFC).
  6. Une attestation cryptographique est envoyée à Cloudflare, ce qui autorise l'utilisateur à entrer après vérification du test de présence de l'utilisateur.

Selon Thibault Meunier, terminer ce flux prend cinq secondes. Plus important encore : « ce défi protège la confidentialité des utilisateurs puisque l'attestation n'est pas uniquement liée à l'appareil de l'utilisateur. Tous les fabricants d'appareils auxquels Cloudflare fait confiance font partie de l'Alliance FIDO. En tant que telle, chaque clé matérielle partage son identifiant avec d'autres clés fabriquées dans le même lot. Du point de vue de Cloudflare, votre clé ressemble à toutes les autres clés du lot ».

Il faut au plus trois clics pour remplir une attestation cryptographique du statut de Personne : « il n'y a pas de boucle, où un utilisateur est invité à cliquer sur les bus 10 fois de suite ».


Bien qu'il existe une variété de clés de sécurité matérielles, le déploiement initial de Cloudflare est limité à quelques périphériques: YubiKeys ; les clés HyperFIDO; et les clés Thetis FIDO U2F.

L'attestation cryptographique du statut de Personne repose sur l'attestation d'authentification Web (WebAuthn). Il s'agit d'une API qui a été normalisée au W3C et qui est déjà implémentée dans la plupart des navigateurs Web et des systèmes d'exploitation modernes. Il vise à fournir une interface standard pour authentifier les utilisateurs sur le Web et utiliser la capacité de cryptographie de leurs appareils.

Conclusion

« Concevoir un défi visant à protéger des millions de propriétés Internet n'est pas une tâche facile. Dans la configuration actuelle, nous pensons que l'attestation cryptographique du statut de Personne offre de solides garanties de sécurité et de convivialité par rapport aux défis CAPTCHA traditionnels. Au cours d'une étude utilisateur préliminaire, les utilisateurs ont indiqué une forte préférence pour toucher leur clé matérielle plutôt que de cliquer sur les images. Néanmoins, nous savons qu’il s’agit d’un nouveau système qui peut être amélioré.

« Cette expérience sera disponible sur une base limitée dans les régions anglophones. Cela nous permet d'avoir une diversité dans le pool d'utilisateurs et de tester ce processus dans divers endroits. Cependant, nous reconnaissons qu'il s'agit d'une couverture insuffisante et nous avons l'intention de tester davantage. Si vous avez des besoins spécifiques, n'hésitez pas à nous contacter.

« Un autre problème que nous surveillons de près est celui de la sécurité. La sécurité de ce défi dépend du matériel sous-jacent fourni par des fabricants de confiance. Nous sommes convaincus qu'ils sont sécurisés. Si une violation devait se produire, nous serions en mesure de retirer rapidement l’autorisation des clés publiques des fabricants à différents niveaux de granularité ».

Source : Cloudflare

Et vous ?

Que pensez-vous des CAPTCHA ? À quelle fréquence en rencontrez-vous lors de votre navigation web (rarement, parfois, souvent, tout le temps) ?
Que pensez-vous de la solution proposée par Cloudflare ?

Voir aussi :

Cloudflare a décidé d'abandonner reCAPTCHA de Google pour se tourner vers le service alternatif hCaptcha parce que Google va facturer l'utilisation du service
« Les CAPTCHA ne nous reconnaissent pas comme des humains », des associations australiennes de personnes invalides veulent le voir disparaître du Web

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 17/05/2021 à 20:14
Citation Envoyé par Stéphane le calme Voir le message

Que pensez-vous des CAPTCHA ? À quelle fréquence en rencontrez-vous lors de votre navigation web (rarement, parfois, souvent, tout le temps) ?
Certains type de CAPTCHA me cassent les pieds mais je n'en suis pas au point où ils permettent de tracer.

Citation Envoyé par Stéphane le calme Voir le message

Que pensez-vous de la solution proposée par Cloudflare ?
Sachant que:
  • La solution de Cloudflare se base sur des clés FIDO
  • Le nombre de paires clés publiques/privées dans les clés physiques sont limitées (entre 30 et 50 en général selon les modèles)
  • Sachant que Cloudflare est un CDN très utilisé par beaucoup de sites


Soit on présente toujours la même clé publique et Cloudflare a un moyen gratuit de nous identifier de manière unique même si on vire tous les cookies, soit on présente une clé différente à chaque fois mais au bout de quelques requêtes on a déjà une bonne chance de réutiliser des clés qu'ils connaissent et on retombe dans le traçage.

Bref, c'est une idée à la c.. qui ne bénéficie qu'à Cloudflare et à bannir.

Pire que ça, je ne pense pas qu'ils soient naïfs au point de n'avoir pas pensé à ça, et dans ce cas ils sont malhonnêtes et il faut se tourner vers d'autres CDN autant que possible.
14  0 
Avatar de eomer212
Membre confirmé https://www.developpez.com
Le 17/05/2021 à 11:13
on dépendra de cloudflare, faudra avoir une cle cryptographique pour stocker le jeton qui prouve qu'on est humain.. et un abonnement payant cloudflare bien sur..
mais ils sont complètement tordus...
à la base faudrait peut-être pas oublier POURQUOI ces captchas ont étés mis en place. A CAUSE DES GROS SPAMMEURS
et eux, chez cloudflare, ils ont pas une bonne idée pour défoncer les spammeurs plutôt qu'essayer de nous fourguer une solution boiteuse de plus ?
12  0 
Avatar de Kuki el gato
Membre régulier https://www.developpez.com
Le 21/05/2021 à 2:48
L'utilisation à tout va des captchas est une torture quand on a des difficultés visuelles. Il m'a fallu 8 changements aujourd'hui pour avoir quelque chose d'à peu près lisible sur un site où je dois refaire un papier d'identité.
11  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 19/05/2021 à 20:16
Citation Envoyé par Mubelotix Voir le message
Nan mais on irait vers un standard bien sûr. Cloudfare il faut quand même reconnaître qu'ils font bien les choses.
De toute façon, les clefs de sécurité sont le futur des mots de passe alors autant leur ajouter d'autres fonctionnalités. Je suis convaincu que le système actuel des mots de passe est intenable et sera tôt ou tard remplacé par des bons systèmes cryptographiques inviolables. Et ça, ça implique une clef physique. Tout le reste est facilement violable.
Alors il suffit de chercher un peu pour voir que les clés FIDO ne sont pas inviolables: par exemple les dernières vulnérabilités sur les clés de Yubikey, dont la CVE-2021-3011 qui touche également les clés Titan de Google.

À la base, ces clés ont été conçues pour ne pas permettre de faire des recoupements entre les jumelages effectués auprès des différents service sur Internet. Ainsi, si par exemple tu as plusieurs grosses fuites de données, tu as peu de chances de pouvoir faire des recoupements entre les données de tes différents services pour y trouver des entrées uniques.

Le problème, comme je le disais c'est que Cloudflare est pratiquement en situation de monopole, du coup ils ont les moyens de recentraliser les requêtes, et ça ça va à l'encontre du design initial. Dans un jeu en ligne, quand un joueur trouve un exploit et qu'il s'en sert en masse, on bannit le joueur et on fixe l'exploit. C'est de la folie furieuse ici de les laisser continuer sous prétexte que "oh quand même, ils font du bon travail"...

C'est la même chose avec des protocoles comme OAuth2 ou OpenID Connect. À la base, l'idée de pouvoir empêcher les sites d'avoir nos informations d'authentification en délégant cette authentification à des services tiers est très sympa. Dans les faits, la plupart des sites ne font ça qu'à travers les IdP de Facebook et de Google ("connectez vous avec votre compte Google/Facebook/...", et donc ces deux géants ont accès à la liste des services que l'on fréquente, ce qui diminue encore l'anonymat...

Franchement, il y a pourtant assez d'exemples de grosses sociétés en ce moment qui profitent de leur situation de monopole pour tracer les gens et dépasser les limites de ce qui est éthiquement acceptable pour s'enrichir encore plus. Cloudflare nous montre juste quel camp ils ont choisi.
7  0 
Avatar de Lor6s
Nouveau membre du Club https://www.developpez.com
Le 17/05/2021 à 1:49
ça fait perdre un temps fou, et pour paraphraser l'ami Linus Torvalds : L'utilisateur a raison.

Y a même des sites qui te demande par défaut d'en remplir un à chaque entrée utilisateur. Après, est ce que le web 2.0 était forcément une bonne idée...
5  0 
Avatar de Sylvercis
Membre habitué https://www.developpez.com
Le 17/05/2021 à 8:46
Je comprends pas.

Si je crée un profil avec un ordinateur et une clé usb puis je lance un bot, il pourra alors tout ce qu'il veut sans se préoccuper des captcha?
C'est ça l'idée ?
5  0 
Avatar de jeanluc.amitousa
Futur Membre du Club https://www.developpez.com
Le 20/05/2021 à 15:35
1. Hum, ça me paraît globalement sans amélioration de temps:

  • Chacun va chercher à conserver sa clé quelque part, il faudra se lever pour aller la chercher => temps perdu.
  • Si on perd sa clé, il faut la chercher => temps perdu.
  • Si on la casse, ou on renverse du jus dessus on perd facilement une demi-journée à aller chez un réparateur.
  • On va confier des clés USB à des enfants ?


2: Il y a également un coût financier pour la construction / réparation contre 0 pour les CAPTCHAs. Tout le monde pourra-t-il se payer la clé ?

3: Je rajouterais que les ports USB risquent d'être fortement sollicité. N'y a-t-il pas un risque de précipitation de leur usure ?

Ma conclusion: pour des cas d'usage très restreint pourquoi pas, worldwide je n'y crois pas.
5  0 
Avatar de cedric57
Membre confirmé https://www.developpez.com
Le 20/05/2021 à 22:18
Perso je n'aime pas l’alternative.
Mais je n'aime pas également des catcha…là je suis jeune, en bonne santé, plutôt intelligent…et pourtant des fois je galère. Alors je me dit, qu'est ce que ce sera quand j'aurai 90 ans et que j'aurai perdu une partie de ma vue et de ma tête ???
5  0 
Avatar de FrancisGernet
Membre régulier https://www.developpez.com
Le 21/05/2021 à 16:54
Si l'on perd 500 années humaines gaspillées chaque jour avec les Captcha (que je n'apprécie pas particulièrement), alors c'est certainement au moins dix fois plus que l'on perd avec des sites où l'on ne sais où cliquer, dont les menus ne mènent nulle part, ... sans compter les "Attendez, vous allez être redirigés" (signés Cloudflate ?).

Je suis totalement contre cette suggestion de fous.
4  0 
Avatar de CoderInTheDark
Membre émérite https://www.developpez.com
Le 30/06/2021 à 9:38
Comme déjà dit, c'est horrible pour les déficients visuels, et c'est encore pire pour les yvoiriens comme moi.

Le catcha audio n'est pas mieux, alors il faut demander à quelqu'un de nous le faire.
En général la personne n'y arrive pas du premier coup, c'est dire que le teste est imparfait.

En plus des voyants se plaignent qu'avec les testes en images il y a parfois un petit bout seulement de taxi ou de feu rouge, et donc on n'est pas sûr qu'il faille cliquer sur l'image en question.
4  0