Agence web » Actualités du digital » Le nouveau remplacement CAPTCHA de Cloudflare nécessite plus de travail –

Le nouveau remplacement CAPTCHA de Cloudflare nécessite plus de travail –

ParTremplin Numérique Publié le
Une illustration d'une clé de sécurité USB
Cloudflare

Cloudflare, fournisseur de services CDN et DNS populaire, veut mettre fin aux CAPTCHA, affirmant que l’humanité gaspille 500 heures à regarder les tests ennuyeux «prouvez que vous n’êtes pas un robot» chaque jour. Et bien que le remplacement proposé par l’entreprise ne soit pas exactement parfait, c’est un pas dans la bonne direction qui pourrait jeter les bases des futures normes d’authentification.

CAPTCHA est un «test de Turing public entièrement automatisé pour distinguer les ordinateurs et les humains.» Comme un videur dans une boîte de nuit, CAPTCHA utilise des questions simples ou des énigmes pour empêcher les robots de envahir les sites Web. Mais CAPTCHA est nul. Les tests sont lents et déroutants, ils ne fonctionnent pas toujours correctement et ils ne sont pas toujours accessibles aux malvoyants.

Google fait de son mieux pour réparer CAPTCHA, mais Cloudflare veut le tuer et le remplacer par quelque chose appelé «Attestation cryptographique de la personnalité», qui est une façon sophistiquée de dire «un matériel qui prouve que vous êtes un humain». Sans surprise, Cloudflare se concentre sur les clés de sécurité USB dans ses premiers tests pour cette méthode d’authentification.

Si vous possédez une clé de sécurité YubiKey, HyperFIDO ou Thetis FIDO U2F, vous pouvez tester le nouveau système d’authentification impressionnant de Cloudflare maintenant. Connectez simplement la clé de sécurité USB à votre ordinateur, autorisez le site Web à voir votre clé, cliquez sur la clé, puis vous partez pour les courses (eh bien, vous êtes redirigé vers le blog de Cloudflare). Non seulement le système est rapide, mais il est également accessible aux personnes malvoyantes. Il protège également la confidentialité des utilisateurs, car la clé de sécurité qui garantit votre humanité n’est pas uniquement liée à votre nom ou à votre appareil.

Il ne faudrait pas beaucoup de travail pour que la technologie prenne en charge les téléphones mobiles, qui peuvent remplacer les clés de sécurité grâce à Google. Cloudflare propose également un avenir où les fabricants construisent du matériel «Cryptographic Attestation of Personhood» directement dans les appareils. Ces puces pourraient vérifier que votre ordinateur est réel et unique à l’aide d’un code spécial associé au fabricant.

Mais ces méthodes d’authentification sont-elles efficaces? Qu’est-ce qui empêche un robot d’utiliser (ou d’usurper) une clé de sécurité USB ou tout autre outil «d’attestation»? Comme le souligne Ackermann Yuriy, PDG de Webatuthn Works, les clés FIDO sont non seulement faciles à usurper, mais elles fonctionnent également incroyablement vite et sont relativement anonymes, de sorte qu’une ferme de robots connectée à une poignée de clés pourrait facilement envahir un site Web protégé par le système de Cloudflare.

Les gens préparent déjà des plans élaborés pour dépasser le remplacement proposé par Cloudflare de CAPTCHA, un indicateur que «l’attestation cryptographique de la personnalité» n’est pas l’avenir, du moins pas dans son état actuel. Mais la méthode d’authentification est incroyablement pratique, assez privée et assez facile à mettre en œuvre. Bref, les vannes sont ouvertes, il est temps pour CAPTCHA de mourir, et Cloudflare fait le premier pas dans la bonne direction.

Source: Cloudflare via The Verge

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.