Le nouveau remplacement CAPTCHA de Cloudflare nécessite plus de travail
Le populaire fournisseur de services CDN et DNS Cloudflare veut mettre fin aux CAPTCHA, affirmant que l’humanité perd 500 heures à regarder les tests ennuyeux "prouvez que vous n’êtes pas un robot" tous les jours. Et bien que le remplacement proposé par l’entreprise ne soit pas exactement parfait, c’est un pas dans la bonne direction qui pourrait jeter les bases de futures normes d’authentification.
CAPTCHA est un "test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains". Comme un videur dans une boîte de nuit, CAPTCHA utilise des questions simples ou des énigmes pour empêcher les robots d’envahir les sites Web. Mais le CAPTCHA est nul. Les tests sont lents et déroutants, ils ne fonctionnent pas toujours correctement et ne sont pas toujours accessibles aux malvoyants.
Google fait de son mieux pour corriger CAPTCHA, mais Cloudflare veut le tuer et le remplacer par quelque chose appelé "Attestation cryptographique de personnalité", qui est une façon élégante de dire "un morceau de matériel qui prouve que vous êtes un humain". Sans surprise, Cloudflare se concentre sur les clés de sécurité USB dans ses premiers tests pour cette méthode d’authentification.
Si vous possédez une YubiKey, une clé HyperFIDO ou une clé de sécurité Thetis FIDO U2F, vous pouvez tester dès maintenant l’impressionnant nouveau système d’authentification de Cloudflare. Connectez simplement la clé de sécurité USB à votre ordinateur, autorisez le site Web à voir votre clé, cliquez sur la clé, puis vous êtes parti pour les courses (enfin, vous êtes redirigé vers le blog de Cloudflare). Non seulement le système est rapide, mais il est accessible aux personnes malvoyantes. Il protège également la confidentialité des utilisateurs, car la clé de sécurité qui garantit votre humanité n’est pas uniquement liée à votre nom ou à votre appareil.
Il ne faudrait pas beaucoup de travail pour que la technologie prenne en charge les téléphones mobiles, qui peuvent remplacer les clés de sécurité grâce à Google. Cloudflare propose également un avenir où les fabricants intègrent directement du matériel d’« attestation cryptographique de personnalité» dans les appareils. Ces puces pourraient vérifier que votre ordinateur est réel et unique en utilisant un code spécial associé au fabricant.
Mais ces méthodes d’authentification sont-elles efficaces? Qu’est-ce qui empêche un robot d’utiliser (ou d’usurper) une clé de sécurité USB ou tout autre outil d’« attestation »? Comme le souligne le PDG de Webatuhn Works, Ackermann Yuriy, les clés FIDO sont non seulement faciles à usurper, mais elles fonctionnent également incroyablement rapidement et sont relativement anonymes, de sorte qu’une batterie de robots connectée à une poignée de clés pourrait facilement envahir un site Web protégé par le système de Cloudflare.
Les gens complotent déjà des stratagèmes élaborés pour dépasser le remplacement CAPTCHA proposé par Cloudflare, un indicateur que "l’attestation cryptographique de la personnalité" n’est pas l’avenir, du moins pas dans son état actuel. Mais la méthode d’authentification est incroyablement pratique, assez privée et assez facile à mettre en œuvre. Bref, les vannes sont ouvertes, il est temps que CAPTCHA meure, et Cloudflare fait le premier pas dans la bonne direction.
Source: Cloudflare via The Verge