Cloudflare veut tuer le CAPTCHA
Cloudflare teste actuellement un moyen pour que les clés de sécurité remplacent l’un des aspects les plus irritants de la navigation sur le web : le CAPTCHA.
Les CAPTCHA sont utilisés pour repérer les robots qui parcourent les sites Web et sont souvent mis en œuvre pour empêcher l’utilisation abusive des services en ligne.
Ces tests, qui vous obligent à regarder des images et à identifier des objets tels que des voitures, des ponts ou des bicyclettes, nous font perdre du temps et perturbent nos activités de navigation. Vous êtes également plus susceptible de les voir lorsque vous utilisez un réseau privé virtuel (VPN).
“Les CAPTCHA sont en fait des entreprises qui mettent de la friction devant leurs utilisateurs, et comme toute personne qui a géré une entreprise en ligne très performante vous le dira, ce n’est pas quelque chose que vous voulez faire à moins que vous n’ayez pas le choix”, dit Cloudflare.
Pour mettre en évidence le temps perdu à cause de ces tests, Cloudflare a déclaré que” 500 années humaines sont gaspillées chaque jour, juste pour que nous prouvions notre humanité “, sur la base des calculs suivants : 32 secondes en moyenne pour compléter un CAPTCHA, un test effectué tous les 10 jours et 4,6 milliards d’internautes dans le monde.
Jeudi, Thibault Meunier, ingénieur de recherche chez Cloudflare, a déclaré dans un billet de blog que l’entreprise “lançait une expérience pour mettre fin à cette folie” et se débarrasser complètement des CAPTCHA.
Le moyen d’y parvenir ? Utiliser les clés de sécurité comme moyen de prouver notre humanité.
Selon Meunier, Cloudflare va commencer par utiliser des clés de sécurité de confiance – comme la gamme YubiKey, les clés HyperFIDO et les clés Thetis FIDO U2F – et utiliser ces dispositifs d’authentification physique comme “attestation cryptographique de l’identité humaine”.
Voici comment cela fonctionne : un utilisateur est testé sur un site Web, il clique sur un bouton du type “Je suis humain” et est ensuite invité à utiliser un dispositif de sécurité pour prouver son identité. Une clé de sécurité matérielle est alors branchée sur son PC ou activée sur un appareil mobile pour fournir une signature – en utilisant la technologie sans fil NFC dans ce dernier cas – et une attestation cryptographique est ensuite envoyée au site Web.
Selon Cloudflare, le test ne prend pas plus de trois clics et une moyenne de cinq secondes, ce qui pourrait représenter une grande amélioration par rapport à la moyenne de 32 secondes du CAPTCHA.
“Plus important encore, ce test protège la vie privée des utilisateurs puisque l’attestation n’est pas liée de manière unique à l’appareil de l’utilisateur”, note Cloudflare. “Tous les fabricants d’appareils auxquels Cloudflare fait confiance font partie de la FIDO Alliance. En tant que telle, chaque clé matérielle partage son identifiant avec d’autres clés fabriquées dans le même lot “. Du point de vue de Cloudflare, votre clé ressemble à toutes les autres clés du lot.”
Le test de personnalité s’appuie sur l’API d’attestation de l’authentification Web (WebAuthn). Tous les navigateurs sur Ubuntu, macOS, Windows et iOS 14.5, ainsi que Chrome sur Android v.10+, sont compatibles.
Vous pouvez accéder à cloudflarechallenge.com pour tester le système. Comme le déploiement est encore dans sa phase expérimentale, Cloudflare dit qu’il est actuellement en cours d’intégration avec les tests existants – mais nous allons probablement le voir plus souvent au fil du temps.
“Nous voulons savoir que vous êtes humain”, dit Meunier. “Mais nous ne cherchons pas à savoir quel humain vous êtes”.
Source : “ZDNet.com”
