Cloudflare veut se débarrasser des CAPTCHA grâce aux clés USB de sécurité

Cloudflare veut se débarrasser des CAPTCHA grâce aux clés USB de sécurité

Cloudflare veut se débarrasser des CAPTCHA grâce aux clés USB de sécurité

L’idée derrière le CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) est de pouvoir identifier une personne bien réelle d’un ordinateur, et plus spécifiquement d’un bot.

Le mécanisme va passer par des opérations cognitives simples pour le cerveau humain, beaucoup moins pour un programme. Il s’agit souvent de reconnaître un véhicule (vélo, voiture, bus…) sur des grilles de neufs photos. 

Malheureusement, l’étape est souvent perçue comme pénible, les clichés utilisés manquant de clarté. Des opérations mathématiques sont parfois utilisées. A priori simples, elles peuvent devenir complexes, là encore pour des questions de lisibilité. Même chose pour les simples suites de caractères, qui tendent à disparaître.

Cloudflare aimerait se débarrasser des CAPTCHA en recourant aux clés de sécurité de type Yubico. Via un système baptisé « Cryptographic Attestation of Personhood » sur une page dédiée de son site, le prestataire propose une nouvelle manière de prouver que l’on est un être humain.

On clique sur le bouton « I am human (beta) » puis on suit les quelques indications données. On choisit la clé de sécurité utilisée (peu de modèles supportés pour l’instant : YubiKey, HyperFIDO et Thetis FIDO U2F) et on valide l'étape. Dans son billet, Cloudflare ajoute que d’autres études sont en cours pour ne pas se contenter des seules clés USB compatibles WebAuthn.

En outre, comme le pointe Ackermann Yuriy, PDG de la société Webauthn Works, l’utilisation de clés ne prouve pas que vous êtes une personne : elle ne prouve « que le modèle de l’appareil ». Ce qui est vrai, puisque l’action de confirmation demandée sur la clé – appuyer sur un bouton – pourrait être déclenchée par un mécanisme physique quelconque.

Commentaires (5)


Ça ressemble fort à une fausse bonne idée.
Même s’il faut être un peu humain pour obtenir la validation, rien n’empêche de la faire tourner avec un bot ensuite.
Je suis très sceptique sur l’intérêt et la possibilité de mise en œuvre pour cet objectif.



Reste l’existence d’une clef, avec potentiellement un identifiant unique. Qui pourrait, lui, servir à d’autres usages. Donc tout un volet RGPD derrière.



Plus d’inconvénients que d’avantages pour tous les partenaires, en quoi serais-ce intéressant ?


Plus que pénible, ça oblige à autoriser google.com et gstatic.com sur tous les sites où on en trouve, et ça fait qu’on laisse Google nous tracer et on entraîne son IA.



Et ça ne s’améliore pas :
https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side


Donc en plus du PC il fait se trimballer une clé USB


Utilisé une clef de sécurité risque pas de devenir un identifiant unique ?
Car Google, ou Cloudflare ici (son domaine aurait systématiquement la même réponse permettant un ciblage de l’utilisateur) ou je me plante totalement ?


Se trimbaler avec un dongle? L’idée de génie… 😳


Fermer