Le CAPTCHA (acronyme de l'anglais « Completely Automated Public Turing test to tell Computers and Humans Apart ») est une mesure de sécurité de type « authentification par question-réponse ». La vérification utilise généralement la capacité d'analyse d'image ou de son de l'être humain. Au début, un test CAPTCHA pouvait être constitué de deux parties : une séquence aléatoire de lettres et/ou de chiffres qui apparaissent de manière déformée, et une zone de texte. Pour réussir le test, il vous suffisait de saisir les caractères de l'image dans la zone de texte. Certains sites web préféraient afficher une image qui contenait une question mathématique.
Mais en 2017, cette procédure visuelle a été dépassée lorsque Google a introduit un Captcha n'utilisant qu'une simple case à cocher. Google a expliqué analyser l'ensemble du comportement de l'utilisateur précédent le clic. On peut supposer que cela comprend notamment des techniques de suivi de la souris. C'est alors que sont nés les tests où l'internaute doit regarder des images et sélectionner des objets tels que des voitures, des ponts ou des vélos.
Et Cloudflare voudrait s'en débarrasser. Par le biais de Thibault Meunier, ingénieur de recherche au sein de la structure, l'entreprise explique :
« Sur la base de nos données, il faut en moyenne 32 secondes à un utilisateur pour terminer un défi CAPTCHA. Il y a 4,6 milliards d'utilisateurs d'Internet dans le monde. Nous supposons qu'un utilisateur Internet typique voit environ un CAPTCHA tous les 10 jours.
« Ce calcul très simple du dos de l'enveloppe équivaut à quelque part de l'ordre de 500 années humaines gaspillées chaque jour – juste pour que nous puissions prouver notre humanité.
« Aujourd'hui, nous lançons une expérience pour mettre fin à cette folie. Nous voulons nous débarrasser complètement des CAPTCHA. L'idée est assez simple: un vrai humain devrait être capable de toucher ou de regarder son appareil pour prouver qu'il est humain, sans révéler son identité. Nous voulons que vous puissiez prouver que vous êtes humain sans révéler quel humain vous êtes ! Vous pouvez demander si cela est même possible ? Et la réponse est oui ! Nous commençons avec des clés USB fiables (comme YubiKey) qui existent depuis un certain temps, mais de plus en plus de téléphones et d'ordinateurs sont équipés par défaut de cette capacité ».
CAPTCHA sans image : attestation cryptographique du statut de Personne (Personhood)
La solution proposée par Cloudflare une attestation cryptographique du statut de Personne. Du point de vue de l'utilisateur, cette attestation fonctionne comme suit:
- L'utilisateur accède à un site Web protégé par une attestation cryptographique du statut de Personne, tel que cloudflarechallenge.com.
- Cloudflare lance un test.
- L'utilisateur clique sur Je suis humain (version bêta) et est invité à indiquer un dispositif de sécurité.
- L'utilisateur décide d'utiliser une clé de sécurité matérielle.
- L'utilisateur branche l'appareil sur son ordinateur ou l'appuie sur son téléphone pour une signature sans fil (à l'aide de NFC).
- Une attestation cryptographique est envoyée à Cloudflare, ce qui autorise l'utilisateur à entrer après vérification du test de présence de l'utilisateur.
Selon Thibault Meunier, terminer ce flux prend cinq secondes. Plus important encore : « ce défi protège la confidentialité des utilisateurs puisque l'attestation n'est pas uniquement liée à l'appareil de l'utilisateur. Tous les fabricants d'appareils auxquels Cloudflare fait confiance font partie de l'Alliance FIDO. En tant que telle, chaque clé matérielle partage son identifiant avec d'autres clés fabriquées dans le même lot. Du point de vue de Cloudflare, votre clé ressemble à toutes les autres clés du lot ».
Il faut au plus trois clics pour remplir une attestation cryptographique du statut de Personne : « il n'y a pas de boucle, où un utilisateur est invité à cliquer sur les bus 10 fois de suite ».
Bien qu'il existe une variété de clés de sécurité matérielles, le déploiement initial de Cloudflare est limité à quelques périphériques: YubiKeys ; les clés HyperFIDO; et les clés Thetis FIDO U2F.
L'attestation cryptographique du statut de Personne repose sur l'attestation d'authentification Web (WebAuthn). Il s'agit d'une API qui a été normalisée au W3C et qui est déjà implémentée dans la plupart des navigateurs Web et des systèmes d'exploitation modernes. Il vise à fournir une interface standard pour authentifier les utilisateurs sur le Web et utiliser la capacité de cryptographie de leurs appareils.
Conclusion
« Concevoir un défi visant à protéger des millions de propriétés Internet n'est pas une tâche facile. Dans la configuration actuelle, nous pensons que l'attestation cryptographique du statut de Personne offre de solides garanties de sécurité et de convivialité par rapport aux défis CAPTCHA traditionnels. Au cours d'une étude utilisateur préliminaire, les utilisateurs ont indiqué une forte préférence pour toucher leur clé matérielle plutôt que de cliquer sur les images. Néanmoins, nous savons qu’il s’agit d’un nouveau système qui peut être amélioré.
« Cette expérience sera disponible sur une base limitée dans les régions anglophones. Cela nous permet d'avoir une diversité dans le pool d'utilisateurs et de tester ce processus dans divers endroits. Cependant, nous reconnaissons qu'il s'agit d'une couverture insuffisante et nous avons l'intention de tester davantage. Si vous avez des besoins spécifiques, n'hésitez pas à nous contacter.
« Un autre problème que nous surveillons de près est celui de la sécurité. La sécurité de ce défi dépend du matériel sous-jacent fourni par des fabricants de confiance. Nous sommes convaincus qu'ils sont sécurisés. Si une violation devait se produire, nous serions en mesure de retirer rapidement l’autorisation des clés publiques des fabricants à différents niveaux de granularité ».
Source : Cloudflare
Et vous ?
Que pensez-vous des CAPTCHA ? À quelle fréquence en rencontrez-vous lors de votre navigation web (rarement, parfois, souvent, tout le temps) ?
Que pensez-vous de la solution proposée par Cloudflare ?
Voir aussi :
Cloudflare a décidé d'abandonner reCAPTCHA de Google pour se tourner vers le service alternatif hCaptcha parce que Google va facturer l'utilisation du service
« Les CAPTCHA ne nous reconnaissent pas comme des humains », des associations australiennes de personnes invalides veulent le voir disparaître du Web