Cloudflare veut tuer le CAPTCHA à l’aide de clés de sécurité matérielles

Cloudflare wants to kill the CAPTCHA using hardware security keys

Quelque chose à espérer: La plupart d’entre nous ont dû faire face au moins à quelques reprises avec des CAPTCHA sur des sites Web qui ne se chargeraient pas en raison d’un soupçon que nous pourrions être … des robots. La résolution de ces CAPTCHA est un processus frustrant, et Cloudflare dit qu’il a une idée sur la façon de les minimiser et éventuellement de les éliminer.

Cloudflare est l’un des principaux fournisseurs d’infrastructure et de sécurité Web, de diffusion de contenu, de DNS, entre autres. La société propose également des solutions de gestion de bots aux entreprises, y compris CAPTCHA (abréviation de Test de Turing public entièrement automatisé pour distinguer les ordinateurs et les humains) services – mais il a maintenant décidé d’en éliminer une fois pour toutes.

Cloudflare s’est appuyé sur le reCAPTCHA de Google pendant des années, mais cela a laissé peu de place à la personnalisation et a finalement soulevé des problèmes de confidentialité, car Google peut utiliser les données de ce service pour former ses systèmes d’identification visuelle pour la technologie autonome Waymo. Cela a conduit à un passage à hCaptcha l’année dernière, mais la société a noté à l’époque que les CAPTCHA ne sont pas des solutions idéales et qu’elle travaillait sur un moyen de les rendre redondants.

Cloudflare veut tuer le CAPTCHA a laide de cles de

Les CAPTCHA sont un gros casse-tête pour les utilisateurs, car ils prennent en moyenne 32 secondes à compléter car ils sont de plus en plus difficiles au fil des ans. On peut faire remarquer que dans la plupart des cas, ils ne servent qu’à prouver que vous n’avez aucune déficience visuelle ou cognitive, ou même sans doute que vous êtes américain.

En supposant que les 4,6 milliards d’internautes tombent sur un CAPTCHA tous les 10 jours, cela entraînerait le gaspillage de 500 années humaines chaque jour pour prouver que nous sommes humains à un service Web ou à un autre.

De même, les entreprises détestent le besoin de CAPTCHA car elles introduisent beaucoup de friction pour leurs utilisateurs, ce qui les amène potentiellement à partir après avoir fait face au processus frustrant de cliquer sur les bonnes cases d’un puzzle.

La solution proposée par Cloudflare à cette folie est de vous faire prouver votre humanité en touchant ou en regardant l’appareil que vous utilisez, un système qu’il appelle «l’attestation cryptographique de la personnalité». La société teste d’abord des clés de sécurité de confiance, qui sont des périphériques USB spécialisés qui existent depuis un certain temps et qui sont devenus un choix populaire pour l’authentification multifacteur aux côtés des gestionnaires de mots de passe.

Les exemples incluent les Yubikeys de Yubico, le Thetis Fido U2F et la clé de sécurité HyperFIDO. Le nouveau système de Cloudflare est simple: lorsque vous êtes mis au défi sur un site Web, tout ce que vous avez à faire est de cliquer sur un bouton « Je suis un humain », de brancher une clé de sécurité ou de l’appuyer sur un smartphone compatible NFC, et une attestation cryptographique résultante est envoyé à Cloudflare afin que vous puissiez continuer à visiter le site Web.

La société affirme que le processus ne devrait pas prendre plus de cinq secondes, ce qui protège également votre vie privée, car l’attestation n’est en aucun cas liée à votre appareil. Un autre avantage est qu’il n’implique pas les tracas de passer par des CAPTCHA mal résolus jusqu’à ce que vous en obteniez un.

YouTube video

D’un autre côté, Cloudflare admet que ce nouveau système peut ne pas prouver que vous êtes un humain, car tout ce qu’il fait actuellement est de confirmer que vous utilisez une clé de sécurité fiable. Néanmoins, cela peut être un pas dans la bonne direction, car les CAPTCHA peuvent être trompés par l’intelligence artificielle et entraîner un coût élevé pour les entreprises qui en dépendent pour une couche de sécurité supplémentaire.

Si vous souhaitez essayer le système proposé par vous-même, vous pouvez le faire ici. Il devrait fonctionner sur Windows, macOS, Ubuntu, iPhones et iPad mis à jour vers iOS 14.5 et les téléphones Android fonctionnant sous Android 10 ou version ultérieure. Vous pouvez utiliser n’importe quel navigateur sur la plupart des appareils, mais sur Android, vous devrez utiliser Chrome. Gardez à l’esprit que cela est encore en phase expérimentale et peut être uniquement disponible dans les régions anglophones, mais Cloudflare dit que vous pouvez toujours nous contacter si vous avez des besoins spécifiques dont vous souhaitez discuter.