Comment prouver Ă un site web que je suis bien un humain ? Cliquer sur des chats ? Ou sur des feux de signalisation ? Câest aussi chronophage que frustrant. Cloudflare planche sur un substitut au CAPTCHA fondĂ© sur une clĂ© de sĂ©curitĂ© physique.Â
Au dĂ©but, il sâagissait âsimplementâ de recopier une suite de caractĂšres. Puis il a Ă©tĂ© nĂ©cessaire de cliquer sur toutes les images reprĂ©sentant des feux de signalisation, des chats, des bus, des motos... Qui ne connaĂźt pas les CAPTCHA ? UtilisĂ©s pour sĂ©curiser les services en ligne, impossible dây Ă©chapper. Selon Cloudflare, un internaute en rencontre un tous les dix jours, et passe en moyenne 32 secondes pour y rĂ©pondre.Â
Outre la perte de temps quâils gĂ©nĂšrent, les CAPTCHA entraĂźnent Ă©galement des problĂšmes dâaccessibilitĂ© pour les personnes souffrant de handicaps par exemple mais aussi pour des raisons culturelles (âles taxis sont jaunes Ă New York et noirs Ă Londresâ explique le fournisseur de CDN). S'y ajoute la difficultĂ© de rĂ©pondre aux CAPTCHA sur mobile. Le W3C pointe depuis 2003 les difficultĂ©s dâaccessibilitĂ© de cette mĂ©thode de vĂ©rification.Â
Cloudflare compte sâen dĂ©barrasser âcomplĂštementâ, et ce grĂące aux clĂ©s de sĂ©curitĂ© physiques, telles que les Yubikeys. âDe plus en plus, les tĂ©lĂ©phones et les ordinateurs sont Ă©quipĂ©s de cette capacitĂ© par dĂ©fautâ souligne le CDN. A lâinstar dâune authentification par ce biais, il sâagirait ici de procĂ©der de la mĂȘme maniĂšre, en activant la clĂ© de sĂ©curitĂ© physique lĂ oĂč un CAPTCHA pourrait ĂȘtre exigĂ©.Â
L'enfer du CAPTCHA
LâĂ©diteur qualifie ce dispositif de âCryptographic Attestation of Personhoodâ. Il repose sur les attestations WebAuthn du W3C, prĂ©sentes dans la majeure partie des navigateurs. âEn offrant une alternative CAPTCHA via une seule touche soutenue par le matĂ©riel YubiKey et le chiffrement Ă clĂ© publique, la Cryptographic Attestation of Personhood de Cloudflare pourrait aider Ă rĂ©duire davantage la charge cognitive imposĂ©e aux utilisateurs lorsqu'ils interagissent avec des sites sous tension ou attaquĂ©sâ appelle de ses voeux Christopher Harrell, directeur de la technologie chez Yubico. âJ'espĂšre que cette expĂ©rience permettra aux gens d'atteindre leurs objectifs avec un minimum de friction et une confidentialitĂ© renforcĂ©e, et que les rĂ©sultats montreront qu'il vaut la peine pour d'autres sites d'envisager d'utiliser la sĂ©curitĂ© matĂ©rielle plutĂŽt que la simple authentificationâ.
Ainsi, cĂŽtĂ© utilisateur, Cloudflare libĂšre le fonctionnement de ce systĂšme. Lorsquâil arrive sur un site protĂ©gĂ© par la Cryptographic Attestation of Personhood, lâinternaute clique sur âJe suis un humainâ. Mais en lieu et place des deux pages de photos de routes bitumĂ©es, il lui est demandĂ© dâutiliser une clĂ© de sĂ©curitĂ© matĂ©rielle, une clĂ© USB quâil devra connecter Ă son PC ou encore son tĂ©lĂ©phone (via NFC par exemple). Et hop, lâattestation est envoyĂ©e Ă lâĂ©diteur, ce qui vaut vĂ©rification de la nature humaine de lâinternaute qui peut accĂ©der au service en ligne. Et ce en 5 secondes, vante Cloudflare. Sans exiger de donnĂ©es biomĂ©triques ni entraĂźner les algos de reconnaissance visuelle des GAFAM.Â