Cloudflare planche sur une alternative au célèbre système de reconnaissance anti-bots. Pour se débarrasser des captchas, l'entreprise veut lier une clé de sécurité physique à une « attestation cryptographique de personnalité ».
En avril 2020, Cloudflare annonçait être passé à hCaptcha, un service alternatif de Captcha et reCaptcha. A l'époque, la décision était motivée par le projet de Google de faire payer l'utilisation du service reCaptcha. Mais aujourd'hui, l’entreprise veut aller plus loin.
Une « attestation cryptographique de personnalité »
Sur le blog de Cloudflare, l’ingénieur Thibault Meunier explique pourquoi son groupe veut en finir avec les captchas :
« L'humanité perd environ 500 ans par jour à regarder des images et à identifier des bus ou des vélos. Ce système, qui permet depuis 1997 aux services en ligne de distinguer les humains des robots, nous fait perdre du temps, en plus de perturber nos activités de navigation et de nous faire perdre en productivité ».
Pour mettre fin à cette « folie » (c'est Cloudflare qui le dit), l'entreprise souhaite proposer aux internautes des clés USB de sécurité reliées à un certificat cryptographique. « L'idée est assez simple : un véritable humain devrait pouvoir toucher ou regarder son appareil pour prouver qu'il est humain, sans révéler son identité », expliqueThibault Meunier. Ce projet expérimental de Cloudflare, pour l’instant limité aux régions anglophones, fonctionnerait dans un premier temps avec des clés USB compatibles avec les derniers smartphones et ordinateurs telles que les YubiKey, les HyperFIDO ou les Thetis FIDO U2F.
L’entreprise propose en parallèle un certificat digital sécurisé reposant sur l'API WebAuthN, un système qui permetta de générer une « attestation cryptographique de personnalité ». L'entreprise assure une compatibilité complète avec tous les OS suffisamment récents.
Avec ce système, l'internaute sera invité à insérer sa clé de sécurité sur un port USB, ou à l’activer sur son smartphone. Ce « test de présence » génèrera une signature numérique, et une attestation cryptographique sera envoyée au site web.
« Preuve de connaissance zéro »
Cloudflare affirme s'appuyer sur la technologie dite de la la preuve à divulgation nulle de connaissance (preuve zero-knowledge, ou ZK), qui permet aux utilisateurs de prouver que leur fabricant fait partie de ceux auxquels l'entreprise fait confiance.
D'après l'entreprise, aucune donnée biométrique ne peut être collectée par le biais de ce système, puisque l'API WebAuthn l'interdit. Et les avantages sont nombreux selon Cloudflare, qui précise que ce test ne demande qu'au plus trois clics, pour 5 secondes en moyenne - contre 32 pour valider un Captcha.
Source : Cloudflare
Geek de naissance, futurologue, prospectiviste, décortiqueur de signaux faibles (positifs ou négatifs), accroc aux smartphones et à ce qu'ils changent dans nos vies, fan absolu (mais averti) de Google.
Lire d'autres articles
