Cloudflare veut se débarrasser des CAPTCHA

Comment prouver Ă  un site web que je suis bien un humain ? Cliquer sur des chats ? Ou sur des feux de signalisation ? C’est aussi chronophage que frustrant. Cloudflare planche sur un substitut au CAPTCHA fondĂ© sur une clĂ© de sĂ©curitĂ© physique. 

Au dĂ©but, il s’agissait “simplement” de recopier une suite de caractĂšres. Puis il a Ă©tĂ© nĂ©cessaire de cliquer sur toutes les images reprĂ©sentant des feux de signalisation, des chats, des bus, des motos... Qui ne connaĂźt pas les CAPTCHA ? UtilisĂ©s pour sĂ©curiser les services en ligne, impossible d’y Ă©chapper. Selon Cloudflare, un internaute en rencontre un tous les dix jours, et passe en moyenne 32 secondes pour y rĂ©pondre. 

Outre la perte de temps qu’ils gĂ©nĂšrent, les CAPTCHA entraĂźnent Ă©galement des problĂšmes d’accessibilitĂ© pour les personnes souffrant de handicaps par exemple mais aussi pour des raisons culturelles (“les taxis sont jaunes Ă  New York et noirs Ă  Londres” explique le fournisseur de CDN). S'y ajoute la difficultĂ© de rĂ©pondre aux CAPTCHA sur mobile. Le W3C pointe depuis 2003 les difficultĂ©s d’accessibilitĂ© de cette mĂ©thode de vĂ©rification. 

Cloudflare compte s’en dĂ©barrasser “complĂštement”, et ce grĂące aux clĂ©s de sĂ©curitĂ© physiques, telles que les Yubikeys. “De plus en plus, les tĂ©lĂ©phones et les ordinateurs sont Ă©quipĂ©s de cette capacitĂ© par dĂ©faut” souligne le CDN. A l’instar d’une authentification par ce biais, il s’agirait ici de procĂ©der de la mĂȘme maniĂšre, en activant la clĂ© de sĂ©curitĂ© physique lĂ  oĂč un CAPTCHA pourrait ĂȘtre exigĂ©. 

L'enfer du CAPTCHA

L’éditeur qualifie ce dispositif de “Cryptographic Attestation of Personhood”. Il repose sur les attestations WebAuthn du W3C, prĂ©sentes dans la majeure partie des navigateurs. “En offrant une alternative CAPTCHA via une seule touche soutenue par le matĂ©riel YubiKey et le chiffrement Ă  clĂ© publique, la Cryptographic Attestation of Personhood de Cloudflare pourrait aider Ă  rĂ©duire davantage la charge cognitive imposĂ©e aux utilisateurs lorsqu'ils interagissent avec des sites sous tension ou attaquĂ©s” appelle de ses voeux Christopher Harrell, directeur de la technologie chez Yubico. “J'espĂšre que cette expĂ©rience permettra aux gens d'atteindre leurs objectifs avec un minimum de friction et une confidentialitĂ© renforcĂ©e, et que les rĂ©sultats montreront qu'il vaut la peine pour d'autres sites d'envisager d'utiliser la sĂ©curitĂ© matĂ©rielle plutĂŽt que la simple authentification”.

Ainsi, cĂŽtĂ© utilisateur, Cloudflare libĂšre le fonctionnement de ce systĂšme. Lorsqu’il arrive sur un site protĂ©gĂ© par la Cryptographic Attestation of Personhood, l’internaute clique sur “Je suis un humain”. Mais en lieu et place des deux pages de photos de routes bitumĂ©es, il lui est demandĂ© d’utiliser une clĂ© de sĂ©curitĂ© matĂ©rielle, une clĂ© USB qu’il devra connecter Ă  son PC ou encore son tĂ©lĂ©phone (via NFC par exemple). Et hop, l’attestation est envoyĂ©e Ă  l’éditeur, ce qui vaut vĂ©rification de la nature humaine de l’internaute qui peut accĂ©der au service en ligne. Et ce en 5 secondes, vante Cloudflare. Sans exiger de donnĂ©es biomĂ©triques ni entraĂźner les algos de reconnaissance visuelle des GAFAM.