Recaptcha n’est pas RGPD c’est techno le sera t’elle ? j’en doute sérieusement car qui dit identifiant unique dit utilisateur identifiable.

Un « Privacy pass » issu de l’accord de 2 Géants sans doute pas sans bénéfices mutuelles.
Google pourra siphonner un peu plus de données avec ce système de SSO même si elle clame ne pas pister, l’utilisateur n’est plus anonyme à travers tout son parcours web et google pourra distribuer une pub encore mieux affinée. Et par le jeu d’attestation distante, permet de savoir si l’ID du compte et l’appareil appartient à un bon citoyen, utile pour d’autres applications que la suppression de captcha.

Une tentative de vérifier si c’est bien un humain derrière l’écran par l’intermédiaire d’entourloupes regroupées dans les termes de « trust computing », comme le Web Environment Integrity (WEI).
Je pense que l’on arrivera à un point où la caméra infrarouge ( et une sorte de face ID pour une identification un peu plus solide ) deviendra obligatoire et sera activée automatiquement sur tous les appareils dès que l’on ouvre le navigateur web ou une interaction online à travers les Applications. Les machines pré-TPM2 disparaitront plus vite que l’on croît.

Le navigateur ne donne probablement pas accès au token, tout simplement.

Par contre ça implique aussi que le token ne soit pas envoyé directement aux sites (sinon on peut le récupérer du côté serveur), il y a probablement un système à base de hash et de signature pour que le token envoyé à un site lors d’une session ne soit utilisable que pour ce site et cette session. Comme avec les Captcha, dont le jeton était aussi à usage unique pour empêcher une réutilisation.

J’ai essayé de trouver un peu plus de détails sur le mécanisme utilisé, mais je n’en ai pas trouvé…

De surcroît, cette dernière est loin d’être du goût de tous : qui n’a jamais été agacé face à l’apparition de la fatidique question « Êtes-vous un robot ? » Synonyme d’une poignée de secondes perdues dans la résolution d’un puzzle

En soit les captcha me gênent pas trop tant qu’ils fonctionnent bien. Certains semblent limite aléatoires dans leur validation ou non de la réponse (et c’est là je trouve qu’on perd du temps à répondre à plusieurs captcha parce que les premiers sont à côté de la plaque).

Merci de prouver que vous n’êtes pas un robot en versant 2 gouttes de votre huile moteur sur le touchpad.

ça s’appelle un certificat ton truc.

Et puis si le navigateur stocke ce certif (ou token ou ce que tu veux) : qu’est-ce qui empêche un outil d’automatisation des navigateurs de tromper le site marchand ?

La difficulté à simuler une utilisation réaliste du navigateur.

Sur ordinateur, il peut par exemple analyser les déplacements de souris pour déterminer si l’utilisateur est humain. Il est en effet très difficile de simuler de façon réaliste les mouvements de souris d’un utilisateur humain, comme l’avait montré Cloudflare (pas infaillible, ça a été contourné plusieurs fois, mais considéré aujourd’hui comme plus fiable que les captcha à l’ancienne).

Sur mobile, ça peut se faire avec les donnes des capteurs d’accélération/gravité.

Et le navigateur a accès à une masse d’autres données plus ou moins difficiles à simuler de façon réaliste (historique, fichiers, clés matérielles…).

Il se peut aussi qu’il y ait par exemple au démarrage du navigateur une demande de validation sur un appareil mobile ou sur une clé WebAuthn.

En outre, le simple fait de devoir faire tourner un navigateur complet et déjà un frein pour les bots, en augmentant très fortement les ressources nécessaires… S’il faut un navigateur complet, avec un profil utilisateur réaliste, c’est plusieurs centaines à plusieurs Go de RAM par instance, et du temps CPU pour exécuter tout ça. Là où un système permettant de se passer complètement du navigateur peut tenir dans un script n’utilisant que quelques Mo de mémoire par instance et quelques ms de CPU.

On peut supposer qu’un site pourra demander une clé publique au navigateur puis la soumettre au service pour en vérifier la validité, sans pour autant disposer du token de départ.

Reste que ça nécessite de dépendre encore un peu plus des 2 acteurs, puisqu’ils ne travaillent a priori pas sur une solution Open Source…