Cloudflare veut abolir les CAPTCHAs sur Internet

Publié le 18 mai 2021 à 17h45

Cloudflare planche sur une alternative au célèbre système de reconnaissance anti-bots. Pour se débarrasser des captchas, l'entreprise veut lier une clé de sécurité physique à une « attestation cryptographique de personnalité ».

En avril 2020, Cloudflare annonçait être passé à hCaptcha, un service alternatif de Captcha et reCaptcha. A l'époque, la décision était motivée par le projet de Google de faire payer l'utilisation du service reCaptcha. Mais aujourd'hui, l’entreprise veut aller plus loin.

Une « attestation cryptographique de personnalité »

Sur le blog de Cloudflare, l’ingénieur Thibault Meunier explique pourquoi son groupe veut en finir avec les captchas :

« L'humanité perd environ 500 ans par jour à regarder des images et à identifier des bus ou des vélos. Ce système, qui permet depuis 1997 aux services en ligne de distinguer les humains des robots, nous fait perdre du temps, en plus de perturber nos activités de navigation et de nous faire perdre en productivité ».

Pour mettre fin à cette « folie » (c'est Cloudflare qui le dit), l'entreprise souhaite proposer aux internautes des clés USB de sécurité reliées à un certificat cryptographique. « L'idée est assez simple : un véritable humain devrait pouvoir toucher ou regarder son appareil pour prouver qu'il est humain, sans révéler son identité », expliqueThibault Meunier. Ce projet expérimental de Cloudflare, pour l’instant limité aux régions anglophones, fonctionnerait dans un premier temps avec des clés USB compatibles avec les derniers smartphones et ordinateurs telles que les YubiKey, les HyperFIDO ou les Thetis FIDO U2F.

L’entreprise propose en parallèle un certificat digital sécurisé reposant sur l'API WebAuthN, un système qui permetta de générer une « attestation cryptographique de personnalité ». L'entreprise assure une compatibilité complète avec tous les OS suffisamment récents.

Avec ce système, l'internaute sera invité à insérer sa clé de sécurité sur un port USB, ou à l’activer sur son smartphone. Ce « test de présence » génèrera une signature numérique, et une attestation cryptographique sera envoyée au site web.

« Preuve de connaissance zéro »

Cloudflare affirme s'appuyer sur la technologie dite de la la preuve à divulgation nulle de connaissance (preuve zero-knowledge, ou ZK), qui permet aux utilisateurs de prouver que leur fabricant fait partie de ceux auxquels l'entreprise fait confiance.

D'après l'entreprise, aucune donnée biométrique ne peut être collectée par le biais de ce système, puisque l'API WebAuthn l'interdit. Et les avantages sont nombreux selon Cloudflare, qui précise que ce test ne demande qu'au plus trois clics, pour 5 secondes en moyenne - contre 32 pour valider un Captcha.

Source : Cloudflare

Par Thomas Porez

Geek de naissance, futurologue, prospectiviste, décortiqueur de signaux faibles (positifs ou négatifs), accroc aux smartphones et à ce qu'ils changent dans nos vies, fan absolu (mais averti) de Google.

Articles de Thomas Porez

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (9)

eykxas

Et donc ce système fonctionnera uniquement via un service détenu par cloudflare ?

GRITI

Cela ne veut-il pas dire que Cloudfare pourrait connaître tous les sites qu’une « clé » visite? Et par recoupement de données qui se trouve derrière la clé? Ou ai-je mal compris?

cedric4

N’est ce pas un peu tard ?
La V3 de repatcha n’interrompt déjà plus les utilisateurs et donc au final leur système nécessitera 3 cliques au lieu de 0.

si le but est bien de faire gagner en productivité, c’est donc plutôt un retour en arrière.

LeToi

Si ça peut faire disparaître le catastrophique hCaptcha…

mamide

hcaptcha est pire que reCaptcha … ça fait perdre beaucoup de temps et parfois faut cliquer sur 10 tuiles alors que chez Google parfois 3 tuiles sont largement suffisantes !

MattS32

Non, car ils reçoivent simplement un certificat signé par une clé cryptographique contenue dans la clé physique, et qui d’après les spécifications FIDO doit être utilisée dans au moins 100 000 clés physiques différentes.

Donc en gros, ils identifient des groupes de 100 000 utilisateurs. Ce qui en termes d’exploitation des données ne vaut absolument rien.

Felaz

Une belle initiative, quelle perte de temps ! C’est plutot aux Bots de prouver qu’ils ne sont pas des humains

GRITI

Merci pour ces précisions que je ne connaissais pas.

mamide

Blague à part : A force de cliquer sur les tuiles à longueur de journée « pour prouver qu’on est pas des robots » et beh on va finir par devenir des robots d’ailleurs au fil des années j’ai même appris à anticiper le fonctionnement des Recaptcha jusqu’à même parfois je sais où les images vont apparaître (ce n’est pas ça l’intelligence artificielle ? parce que c’est pas de l’intelligence vu que je me sens de plus en plus bête à force de cliquer sur ces tuiles