Cloudflare veut se débarrasser des CAPTCHA grâce aux clés USB de sécurité

L’idée derrière le CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) est de pouvoir identifier une personne bien réelle d’un ordinateur, et plus spécifiquement d’un bot.

Le mécanisme va passer par des opérations cognitives simples pour le cerveau humain, beaucoup moins pour un programme. Il s’agit souvent de reconnaître un véhicule (vélo, voiture, bus…) sur des grilles de neufs photos. 

Malheureusement, l’étape est souvent perçue comme pénible, les clichés utilisés manquant de clarté. Des opérations mathématiques sont parfois utilisées. A priori simples, elles peuvent devenir complexes, là encore pour des questions de lisibilité. Même chose pour les simples suites de caractères, qui tendent à disparaître.

Cloudflare aimerait se débarrasser des CAPTCHA en recourant aux clés de sécurité de type Yubico. Via un système baptisé « Cryptographic Attestation of Personhood » sur une page dédiée de son site, le prestataire propose une nouvelle manière de prouver que l’on est un être humain.

On clique sur le bouton « I am human (beta) » puis on suit les quelques indications données. On choisit la clé de sécurité utilisée (peu de modèles supportés pour l’instant : YubiKey, HyperFIDO et Thetis FIDO U2F) et on valide l'étape. Dans son billet, Cloudflare ajoute que d’autres études sont en cours pour ne pas se contenter des seules clés USB compatibles WebAuthn.

En outre, comme le pointe Ackermann Yuriy, PDG de la société Webauthn Works, l’utilisation de clés ne prouve pas que vous êtes une personne : elle ne prouve « que le modèle de l’appareil ». Ce qui est vrai, puisque l’action de confirmation demandée sur la clé – appuyer sur un bouton – pourrait être déclenchée par un mécanisme physique quelconque.