Discussion :

[Stéphane le calme]

« Il est temps de mettre fin à cette folie » : Cloudflare voudrait rendre obsolètes les CAPTCHA,
grâce à une solution s'appuyant sur des clés de sécurité

Cloudflare teste la possibilité que des clés de sécurité remplacent les CAPTCHA. Il s'agit d'une famille de tests de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur. Les CAPTCHA sont entièrement automatisés, ne nécessitant que quelques secondes du temps de l'utilisateur. Le but est de diminuer le coût associé à la détection manuelle de l'identité des utilisateurs et d'augmenter les performances, c'est-à-dire le nombre de formulaires soumis par de vrais humains traités par le site web par unité de temps.

Le CAPTCHA (acronyme de l'anglais « Completely Automated Public Turing test to tell Computers and Humans Apart ») est une mesure de sécurité de type « authentification par question-réponse ». La vérification utilise généralement la capacité d'analyse d'image ou de son de l'être humain. Au début, un test CAPTCHA pouvait être constitué de deux parties : une séquence aléatoire de lettres et/ou de chiffres qui apparaissent de manière déformée, et une zone de texte. Pour réussir le test, il vous suffisait de saisir les caractères de l'image dans la zone de texte. Certains sites web préféraient afficher une image qui contenait une question mathématique.

Mais en 2017, cette procédure visuelle a été dépassée lorsque Google a introduit un Captcha n'utilisant qu'une simple case à cocher. Google a expliqué analyser l'ensemble du comportement de l'utilisateur précédent le clic. On peut supposer que cela comprend notamment des techniques de suivi de la souris. C'est alors que sont nés les tests où l'internaute doit regarder des images et sélectionner des objets tels que des voitures, des ponts ou des vélos.

Et Cloudflare voudrait s'en débarrasser. Par le biais de Thibault Meunier, ingénieur de recherche au sein de la structure, l'entreprise explique :

« Sur la base de nos données, il faut en moyenne 32 secondes à un utilisateur pour terminer un défi CAPTCHA. Il y a 4,6 milliards d'utilisateurs d'Internet dans le monde. Nous supposons qu'un utilisateur Internet typique voit environ un CAPTCHA tous les 10 jours.

« Ce calcul très simple du dos de l'enveloppe équivaut à quelque part de l'ordre de 500 années humaines gaspillées chaque jour – juste pour que nous puissions prouver notre humanité.

« Aujourd'hui, nous lançons une expérience pour mettre fin à cette folie. Nous voulons nous débarrasser complètement des CAPTCHA. L'idée est assez simple: un vrai humain devrait être capable de toucher ou de regarder son appareil pour prouver qu'il est humain, sans révéler son identité. Nous voulons que vous puissiez prouver que vous êtes humain sans révéler quel humain vous êtes ! Vous pouvez demander si cela est même possible ? Et la réponse est oui ! Nous commençons avec des clés USB fiables (comme YubiKey) qui existent depuis un certain temps, mais de plus en plus de téléphones et d'ordinateurs sont équipés par défaut de cette capacité ».

CAPTCHA sans image : attestation cryptographique du statut de Personne (Personhood)

La solution proposée par Cloudflare une attestation cryptographique du statut de Personne. Du point de vue de l'utilisateur, cette attestation fonctionne comme suit:

1. L'utilisateur accède à un site Web protégé par une attestation cryptographique du statut de Personne, tel que cloudflarechallenge.com.
2. Cloudflare lance un test.
3. L'utilisateur clique sur Je suis humain (version bêta) et est invité à indiquer un dispositif de sécurité.
4. L'utilisateur décide d'utiliser une clé de sécurité matérielle.
5. L'utilisateur branche l'appareil sur son ordinateur ou l'appuie sur son téléphone pour une signature sans fil (à l'aide de NFC).
6. Une attestation cryptographique est envoyée à Cloudflare, ce qui autorise l'utilisateur à entrer après vérification du test de présence de l'utilisateur.

Selon Thibault Meunier, terminer ce flux prend cinq secondes. Plus important encore : « ce défi protège la confidentialité des utilisateurs puisque l'attestation n'est pas uniquement liée à l'appareil de l'utilisateur. Tous les fabricants d'appareils auxquels Cloudflare fait confiance font partie de l'Alliance FIDO. En tant que telle, chaque clé matérielle partage son identifiant avec d'autres clés fabriquées dans le même lot. Du point de vue de Cloudflare, votre clé ressemble à toutes les autres clés du lot ».

Il faut au plus trois clics pour remplir une attestation cryptographique du statut de Personne : « il n'y a pas de boucle, où un utilisateur est invité à cliquer sur les bus 10 fois de suite ».

Bien qu'il existe une variété de clés de sécurité matérielles, le déploiement initial de Cloudflare est limité à quelques périphériques: YubiKeys ; les clés HyperFIDO; et les clés Thetis FIDO U2F.

L'attestation cryptographique du statut de Personne repose sur l'attestation d'authentification Web (WebAuthn). Il s'agit d'une API qui a été normalisée au W3C et qui est déjà implémentée dans la plupart des navigateurs Web et des systèmes d'exploitation modernes. Il vise à fournir une interface standard pour authentifier les utilisateurs sur le Web et utiliser la capacité de cryptographie de leurs appareils.

Conclusion

« Concevoir un défi visant à protéger des millions de propriétés Internet n'est pas une tâche facile. Dans la configuration actuelle, nous pensons que l'attestation cryptographique du statut de Personne offre de solides garanties de sécurité et de convivialité par rapport aux défis CAPTCHA traditionnels. Au cours d'une étude utilisateur préliminaire, les utilisateurs ont indiqué une forte préférence pour toucher leur clé matérielle plutôt que de cliquer sur les images. Néanmoins, nous savons qu’il s’agit d’un nouveau système qui peut être amélioré.

« Cette expérience sera disponible sur une base limitée dans les régions anglophones. Cela nous permet d'avoir une diversité dans le pool d'utilisateurs et de tester ce processus dans divers endroits. Cependant, nous reconnaissons qu'il s'agit d'une couverture insuffisante et nous avons l'intention de tester davantage. Si vous avez des besoins spécifiques, n'hésitez pas à nous contacter.

« Un autre problème que nous surveillons de près est celui de la sécurité. La sécurité de ce défi dépend du matériel sous-jacent fourni par des fabricants de confiance. Nous sommes convaincus qu'ils sont sécurisés. Si une violation devait se produire, nous serions en mesure de retirer rapidement l’autorisation des clés publiques des fabricants à différents niveaux de granularité ».

Source : Cloudflare

Et vous ?

Que pensez-vous des CAPTCHA ? À quelle fréquence en rencontrez-vous lors de votre navigation web (rarement, parfois, souvent, tout le temps) ?
Que pensez-vous de la solution proposée par Cloudflare ?

Voir aussi :

Cloudflare a décidé d'abandonner reCAPTCHA de Google pour se tourner vers le service alternatif hCaptcha parce que Google va facturer l'utilisation du service
« Les CAPTCHA ne nous reconnaissent pas comme des humains », des associations australiennes de personnes invalides veulent le voir disparaître du Web

[Lor6s]

ça fait perdre un temps fou, et pour paraphraser l'ami Linus Torvalds : L'utilisateur a raison.

Y a même des sites qui te demande par défaut d'en remplir un à chaque entrée utilisateur. Après, est ce que le web 2.0 était forcément une bonne idée...

[smarties]

J'espère que ça sera rapidement mis en place car :
- cela est parfois difficile de voir sur leurs images ou il ne faut pas oublier le bout de feu tricolore
- pour les daltoniens, cela peut aussi problème
- ça fait perdre du temps

[Sylvercis]

Je comprends pas.

Si je crée un profil avec un ordinateur et une clé usb puis je lance un bot, il pourra alors tout ce qu'il veut sans se préoccuper des captcha?
C'est ça l'idée ?

[laloune]

je suis peut-être naïf (ou pas à la page) mais je croyais que les captcha permettaient à Google d'entrainer des IA pour leur apprendre à reconnaitre des personnes, des bus, etc... du coup si un tel système était mis en place Google y perdrait beaucoup non ?

[Sylvercis]

D'ici à ce que le commun des mortels passe à cette hypothétique technologie, google n'aura plus besoin d'humains pour entrainer son IA.

[eomer212]

on dépendra de cloudflare, faudra avoir une cle cryptographique pour stocker le jeton qui prouve qu'on est humain.. et un abonnement payant cloudflare bien sur..
mais ils sont complètement tordus...
à la base faudrait peut-être pas oublier POURQUOI ces captchas ont étés mis en place. A CAUSE DES GROS SPAMMEURS
et eux, chez cloudflare, ils ont pas une bonne idée pour défoncer les spammeurs plutôt qu'essayer de nous fourguer une solution boiteuse de plus ?

[kain_tn]

Que pensez-vous des CAPTCHA ? À quelle fréquence en rencontrez-vous lors de votre navigation web (rarement, parfois, souvent, tout le temps) ?

Certains type de CAPTCHA me cassent les pieds mais je n'en suis pas au point où ils permettent de tracer.

Que pensez-vous de la solution proposée par Cloudflare ?

Sachant que:

• La solution de Cloudflare se base sur des clés FIDO
• Le nombre de paires clés publiques/privées dans les clés physiques sont limitées (entre 30 et 50 en général selon les modèles)
• Sachant que Cloudflare est un CDN très utilisé par beaucoup de sites

Soit on présente toujours la même clé publique et Cloudflare a un moyen gratuit de nous identifier de manière unique même si on vire tous les cookies, soit on présente une clé différente à chaque fois mais au bout de quelques requêtes on a déjà une bonne chance de réutiliser des clés qu'ils connaissent et on retombe dans le traçage.

Bref, c'est une idée à la c.. qui ne bénéficie qu'à Cloudflare et à bannir.

Pire que ça, je ne pense pas qu'ils soient naïfs au point de n'avoir pas pensé à ça, et dans ce cas ils sont malhonnêtes et il faut se tourner vers d'autres CDN autant que possible.

[tanaka59]

Bonsoir,

Que pensez-vous des CAPTCHA ?

Pour certaines inscriptions c'est assez lourding ... En plus ils demandent des numéros que seul l'humain connait ... bah non cela suffit pas il faut quand même prouver que l'on est bien soi même

À quelle fréquence en rencontrez-vous lors de votre navigation web (rarement, parfois, souvent, tout le temps) ?

Souvent , pour accéder à des pages de téléchargements ou des formulaires à remplir.

Que pensez-vous de la solution proposée par Cloudflare ?

Si l'on doit commencer à acheter du matériel physique prouver que l'on est bien un humain et non un boot , je trouve cela assez malsain ... Car au final ils peuvent profiler.

[Mubelotix]

on dépendra de cloudflare, faudra avoir une cle cryptographique pour stocker le jeton qui prouve qu'on est humain.. et un abonnement payant cloudflare bien sur..
mais ils sont complètement tordus...
à la base faudrait peut-être pas oublier POURQUOI ces captchas ont étés mis en place. A CAUSE DES GROS SPAMMEURS
et eux, chez cloudflare, ils ont pas une bonne idée pour défoncer les spammeurs plutôt qu'essayer de nous fourguer une solution boiteuse de plus ?

Nan mais on irait vers un standard bien sûr. Cloudfare il faut quand même reconnaître qu'ils font bien les choses.
De toute façon, les clefs de sécurité sont le futur des mots de passe alors autant leur ajouter d'autres fonctionnalités. Je suis convaincu que le système actuel des mots de passe est intenable et sera tôt ou tard remplacé par des bons systèmes cryptographiques inviolables. Et ça, ça implique une clef physique. Tout le reste est facilement violable.

[kain_tn]

Nan mais on irait vers un standard bien sûr. Cloudfare il faut quand même reconnaître qu'ils font bien les choses.
De toute façon, les clefs de sécurité sont le futur des mots de passe alors autant leur ajouter d'autres fonctionnalités. Je suis convaincu que le système actuel des mots de passe est intenable et sera tôt ou tard remplacé par des bons systèmes cryptographiques inviolables. Et ça, ça implique une clef physique. Tout le reste est facilement violable.

Alors il suffit de chercher un peu pour voir que les clés FIDO ne sont pas inviolables: par exemple les dernières vulnérabilités sur les clés de Yubikey, dont la CVE-2021-3011 qui touche également les clés Titan de Google.

À la base, ces clés ont été conçues pour ne pas permettre de faire des recoupements entre les jumelages effectués auprès des différents service sur Internet. Ainsi, si par exemple tu as plusieurs grosses fuites de données, tu as peu de chances de pouvoir faire des recoupements entre les données de tes différents services pour y trouver des entrées uniques.

Le problème, comme je le disais c'est que Cloudflare est pratiquement en situation de monopole, du coup ils ont les moyens de recentraliser les requêtes, et ça ça va à l'encontre du design initial. Dans un jeu en ligne, quand un joueur trouve un exploit et qu'il s'en sert en masse, on bannit le joueur et on fixe l'exploit. C'est de la folie furieuse ici de les laisser continuer sous prétexte que "oh quand même, ils font du bon travail"...

C'est la même chose avec des protocoles comme OAuth2 ou OpenID Connect. À la base, l'idée de pouvoir empêcher les sites d'avoir nos informations d'authentification en délégant cette authentification à des services tiers est très sympa. Dans les faits, la plupart des sites ne font ça qu'à travers les IdP de Facebook et de Google ("connectez vous avec votre compte Google/Facebook/..."), et donc ces deux géants ont accès à la liste des services que l'on fréquente, ce qui diminue encore l'anonymat...

Franchement, il y a pourtant assez d'exemples de grosses sociétés en ce moment qui profitent de leur situation de monopole pour tracer les gens et dépasser les limites de ce qui est éthiquement acceptable pour s'enrichir encore plus. Cloudflare nous montre juste quel camp ils ont choisi.

[jeanluc.amitousa]

1. Hum, ça me paraît globalement sans amélioration de temps:

• Chacun va chercher à conserver sa clé quelque part, il faudra se lever pour aller la chercher => temps perdu.
• Si on perd sa clé, il faut la chercher => temps perdu.
• Si on la casse, ou on renverse du jus dessus on perd facilement une demi-journée à aller chez un réparateur.
• On va confier des clés USB à des enfants ?

2: Il y a également un coût financier pour la construction / réparation contre 0 pour les CAPTCHAs. Tout le monde pourra-t-il se payer la clé ?

3: Je rajouterais que les ports USB risquent d'être fortement sollicité. N'y a-t-il pas un risque de précipitation de leur usure ?

Ma conclusion: pour des cas d'usage très restreint pourquoi pas, worldwide je n'y crois pas.

[cedric57]

Perso je n'aime pas l’alternative.
Mais je n'aime pas également des catcha…là je suis jeune, en bonne santé, plutôt intelligent…et pourtant des fois je galère. Alors je me dit, qu'est ce que ce sera quand j'aurai 90 ans et que j'aurai perdu une partie de ma vue et de ma tête ???

[Kuki el gato]

L'utilisation à tout va des captchas est une torture quand on a des difficultés visuelles. Il m'a fallu 8 changements aujourd'hui pour avoir quelque chose d'à peu près lisible sur un site où je dois refaire un papier d'identité.

[Axel Mattauch]

Si une violation devait se produire, nous serions en mesure de retirer rapidement l’autorisation des clés publiques des fabricants à différents niveaux de granularité

En gros: je dispose du même pouvoir de blocage que les régimes totalitaires (filtrage) , les GAFA (suppression de comptes, déni de licences...) et les brigands du net (ransomwares).

Que pensez-vous de la solution proposée par Cloudflare ?

Une servitude de plus. A éviter absolument. Pas de leur point de vue, naturellement puisqu'il ont la mainmise sur le système.

Une solution technique pour distinguer un botnet d'un human doit impérativement être indépendant de sociétés commerciales.

Que pensez-vous des CAPTCHA ? À quelle fréquence en rencontrez-vous lors de votre navigation web (rarement, parfois, souvent, tout le temps) ?

Je revendique la réciprocité. Les sites me refusent des contacts réels, avec une personne intelligente, et y substituent une botgirl ou autre botconseiller infichu de comprendre une question.

Heureusement, je n'ai pas à prouver trop souvent que je suis un bête Computer, donc la nuisance est actuellement supportable. Mais j'avoue que certains tests CAPTCHA sont tellement débiles que je suis obligé de me mettre à la place de la bécane pour interpréter la question. Donc me comporter plus bêtement que de nature.

[jmc_plus]

Je n'aime pas les CAPTCHA, surtout ceux de Google. Tu as l'impression d'être l'ordinateur qui pilote d'un Google Car autonome avec des feux rouges, des bus, des passages piétons etc.. à détecter. Oh mais attends qu'est ce qu'ils me font faire là ?

[TotoParis]

Perso je n'aime pas l’alternative.
Mais je n'aime pas également des catcha…là je suis jeune, en bonne santé, plutôt intelligent…et pourtant des fois je galère. Alors je me dit, qu'est ce que ce sera quand j'aurai 90 ans et que j'aurai perdu une partie de ma vue et de ma tête ???

Espérons qu'à 90 ans et avant vous ne perdrez plus votre temps sur le web...

[TotoParis]

Ca va encore en faire des déchets électroniques...

[FrancisGernet]

Si l'on perd 500 années humaines gaspillées chaque jour avec les Captcha (que je n'apprécie pas particulièrement), alors c'est certainement au moins dix fois plus que l'on perd avec des sites où l'on ne sais où cliquer, dont les menus ne mènent nulle part, ... sans compter les "Attendez, vous allez être redirigés" (signés Cloudflate ?).

Je suis totalement contre cette suggestion de fous.

[pierre.E]

je suis un peu lasse des escaliers feux de circulation passage clouté taxis ( jaune) ...........