Comment prouver à un site web que je suis bien un humain ? Cliquer sur des chats ? Ou sur des feux de signalisation ? C’est aussi chronophage que frustrant. Cloudflare planche sur un substitut au CAPTCHA fondé sur une clé de sécurité physique.
Au début, il s’agissait “simplement” de recopier une suite de caractères. Puis il a été nécessaire de cliquer sur toutes les images représentant des feux de signalisation, des chats, des bus, des motos... Qui ne connaît pas les CAPTCHA ? Utilisés pour sécuriser les services en ligne, impossible d’y échapper. Selon Cloudflare, un internaute en rencontre un tous les dix jours, et passe en moyenne 32 secondes pour y répondre.
Outre la perte de temps qu’ils génèrent, les CAPTCHA entraînent également des problèmes d’accessibilité pour les personnes souffrant de handicaps par exemple mais aussi pour des raisons culturelles (“les taxis sont jaunes à New York et noirs à Londres” explique le fournisseur de CDN). S'y ajoute la difficulté de répondre aux CAPTCHA sur mobile. Le W3C pointe depuis 2003 les difficultés d’accessibilité de cette méthode de vérification.
Cloudflare compte s’en débarrasser “complètement”, et ce grâce aux clés de sécurité physiques, telles que les Yubikeys. “De plus en plus, les téléphones et les ordinateurs sont équipés de cette capacité par défaut” souligne le CDN. A l’instar d’une authentification par ce biais, il s’agirait ici de procéder de la même manière, en activant la clé de sécurité physique là où un CAPTCHA pourrait être exigé.
L'enfer du CAPTCHA
L’éditeur qualifie ce dispositif de “Cryptographic Attestation of Personhood”. Il repose sur les attestations WebAuthn du W3C, présentes dans la majeure partie des navigateurs. “En offrant une alternative CAPTCHA via une seule touche soutenue par le matériel YubiKey et le chiffrement à clé publique, la Cryptographic Attestation of Personhood de Cloudflare pourrait aider à réduire davantage la charge cognitive imposée aux utilisateurs lorsqu'ils interagissent avec des sites sous tension ou attaqués” appelle de ses voeux Christopher Harrell, directeur de la technologie chez Yubico. “J'espère que cette expérience permettra aux gens d'atteindre leurs objectifs avec un minimum de friction et une confidentialité renforcée, et que les résultats montreront qu'il vaut la peine pour d'autres sites d'envisager d'utiliser la sécurité matérielle plutôt que la simple authentification”.
Ainsi, côté utilisateur, Cloudflare libère le fonctionnement de ce système. Lorsqu’il arrive sur un site protégé par la Cryptographic Attestation of Personhood, l’internaute clique sur “Je suis un humain”. Mais en lieu et place des deux pages de photos de routes bitumées, il lui est demandé d’utiliser une clé de sécurité matérielle, une clé USB qu’il devra connecter à son PC ou encore son téléphone (via NFC par exemple). Et hop, l’attestation est envoyée à l’éditeur, ce qui vaut vérification de la nature humaine de l’internaute qui peut accéder au service en ligne. Et ce en 5 secondes, vante Cloudflare. Sans exiger de données biométriques ni entraîner les algos de reconnaissance visuelle des GAFAM.