Cloudflare veut abolir les CAPTCHAs sur Internet

18 mai 2021 à 17h45
9

Cloudflare planche sur une alternative au célèbre système de reconnaissance anti-bots. Pour se débarrasser des captchas, l'entreprise veut lier une clé de sécurité physique à une « attestation cryptographique de personnalité ».

En avril 2020, Cloudflare annonçait être passé à hCaptcha , un service alternatif de Captcha et reCaptcha. A l'époque, la décision était motivée par le projet de Google de faire payer l'utilisation du service reCaptcha. Mais aujourd'hui, l’entreprise veut aller plus loin.

clé authentification © cloudflare
© Cloudflare

Une « attestation cryptographique de personnalité »

Sur le blog de Cloudflare, l’ingénieur Thibault Meunier explique pourquoi son groupe veut en finir avec les captchas :

« L'humanité perd environ 500 ans par jour à regarder des images et à identifier des bus ou des vélos. Ce système, qui permet depuis 1997 aux services en ligne de distinguer les humains des robots, nous fait perdre du temps, en plus de perturber nos activités de navigation et de nous faire perdre en productivité ».

Pour mettre fin à cette « folie » (c'est Cloudflare qui le dit), l'entreprise souhaite proposer aux internautes des clés USB de sécurité reliées à un certificat cryptographique. « L'idée est assez simple : un véritable humain devrait pouvoir toucher ou regarder son appareil pour prouver qu'il est humain, sans révéler son identité », expliqueThibault Meunier. Ce projet expérimental de Cloudflare, pour l’instant limité aux régions anglophones, fonctionnerait dans un premier temps avec des clés USB compatibles avec les derniers smartphones et ordinateurs telles que les YubiKey, les HyperFIDO ou les Thetis FIDO U2F.

L’entreprise propose en parallèle un certificat digital sécurisé reposant sur l'API WebAuthN, un système qui permetta de générer une « attestation cryptographique de personnalité ». L'entreprise assure une compatibilité complète avec tous les OS suffisamment récents.

Avec ce système, l'internaute sera invité à insérer sa clé de sécurité sur un port USB, ou à l’activer sur son smartphone. Ce « test de présence » génèrera une signature numérique, et une attestation cryptographique sera envoyée au site web.

certificat © clouflare
© Cloudflare

« Preuve de connaissance zéro »

Cloudflare affirme s'appuyer sur la technologie dite de la la preuve à divulgation nulle de connaissance (preuve zero-knowledge, ou ZK), qui permet aux utilisateurs de prouver que leur fabricant fait partie de ceux auxquels l'entreprise fait confiance.

D'après l'entreprise, aucune donnée biométrique ne peut être collectée par le biais de ce système, puisque l'API WebAuthn l'interdit. Et les avantages sont nombreux selon Cloudflare, qui précise que ce test ne demande qu'au plus trois clics, pour 5 secondes en moyenne - contre 32 pour valider un Captcha.

Source : Cloudflare

Modifié le 19/05/2021 à 09h15
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
8
Voir tous les messages sur le forum

Lectures liées

Antivirus et VPN : le prix de Norton 360 Deluxe est en forte baisse jusqu'à la fin du mois
Euro 2021 : comment regarder le match Portugal - France en streaming ?
Une plateforme Cloud de l’OTAN aurait été hackée
Norton casse les prix pour vous offrir la sécurité et la confidentialité en ligne
L'idée inutile donc indispensable du jour : faire tourner Doom sur une lampe connectée IKEA
Un malware empêche ses victimes d’aller sur des sites de téléchargement illégal
Des hackers envoient des Ledger trafiqués pour dérober des crypto-monnaies
Antivirus : Pourquoi ce deal Norton 360 Deluxe est imbattable !
1,2 million d'entrées dérobées sur Pôle Emploi : finalement, le hacker aurait renoncé à les mettre en vente par
Euro 2021 :  sélection de 3 VPN pas chers pour regarder les matchs en streaming
Haut de page