Cloudflare prévoit de supprimer les CAPTCHA pour économiser 500 heures humaines par jour

Cloudflare Inc., une entreprise américaine d’infrastructure web et de sécurité des sites web, souhaite supprimer les CAPTCHA sur le web et les remplacer par un tout nouveau système.

Pour ceux qui ne le savent pas, CAPTCHA (« Test de Turing public complètement automatisé pour différencier les ordinateurs et les humains ») est un type de test de défi-réponse utilisé dans un programme ou un système informatique pour déterminer si l’utilisateur est humain ou non.

Selon Cloudflare, bien que les CAPTCHA renforcent la sécurité des services en ligne, ils ont un coût très réel qui leur est associé.

D’après les données de l’entreprise, il faut en moyenne 32 secondes à un utilisateur pour compléter un défi CAPTCHA.

Avec 4,6 milliards d’utilisateurs d’Internet dans le monde, un utilisateur typique d’Internet voit environ un CAPTCHA tous les 10 jours, ce qui représente environ 500 années humaines perdues chaque jour.

Pour éviter cela, Cloudflare souhaite se débarrasser des CAPTCHA avec son nouveau système de sécurité appelé « Attestation Cryptographique de Personnalité ».

Dans un récent article de blog, Cloudflare explique comment fonctionne l’Attestation Cryptographique de Personnalité, qui est comme suit :

2. L’utilisateur accède à un site web protégé par l’Attestation Cryptographique de Personnalité, tel que com.

3. Cloudflare propose un défi.

4. L’utilisateur clique sur Je suis humain (bêta) et se voit demander un dispositif de sécurité.

5. L’utilisateur décide d’utiliser une clé de sécurité matérielle.

6. L’utilisateur branche le dispositif sur son ordinateur ou le touche à son téléphone pour une signature sans fil (en utilisant NFC).

7. Une attestation cryptographique est envoyée à Cloudflare, ce qui permet à l’utilisateur d’entrer après vérification du test de présence de l’utilisateur.

Lorsque Cloudflare a testé ce flux, il leur a fallu seulement cinq secondes et trois clics pour le compléter. Plus important encore, ce défi protège la vie privée des utilisateurs puisque l’attestation n’est pas liée de manière unique au dispositif de l’utilisateur.

Actuellement, tous les fabricants de dispositifs de confiance pour Cloudflare font partie de l’Alliance FIDO. Les dispositifs qui sont pris en charge lors du déploiement initial incluent les YubiKeys, les clés HyperFIDO et les clés Thetis FIDO U2F.

Ceux qui ont une clé de sécurité compatible et souhaitent tester la fonctionnalité peuvent le faire depuis ce site web.

« Promouvoir des normes d’authentification ouvertes comme WebAuthn a longtemps été au cœur de la mission de Yubico pour offrir une sécurité puissante avec une expérience utilisateur agréable », a déclaré Christopher Harrell, directeur technique chez Yubico.

« En offrant une alternative aux CAPTCHA via un simple toucher soutenu par le matériel YubiKey et la cryptographie à clé publique, l’expérience d’Attestation Cryptographique de Personnalité de Cloudflare pourrait aider à réduire davantage la charge cognitive imposée aux utilisateurs lorsqu’ils interagissent avec des sites sous pression ou attaqués.

J’espère que cette expérience permettra aux gens d’atteindre leurs objectifs avec un minimum de friction et une forte protection de la vie privée, et que les résultats montreront qu’il est utile pour d’autres sites d’envisager d’utiliser la sécurité matérielle pour plus que l’authentification. »

L’Attestation Cryptographique de Personnalité dépend de l’Attestation Web Authentication (WebAuthn). Cette API vise à fournir une interface standard pour authentifier les utilisateurs sur le web et utiliser les capacités cryptographiques de leurs dispositifs.

L’entreprise affirme que cela fonctionne sur tous les navigateurs sous iOS 14.5, Windows, macOS et Ubuntu. Cependant, pour les téléphones fonctionnant sous Android 10 et ultérieur, la fonctionnalité fonctionne sur Chrome.

Il est important de noter que, puisque l’Attestation Cryptographique de Personnalité est un projet expérimental de l’équipe de recherche de Cloudflare, elle fonctionne actuellement uniquement sur des clés de sécurité USB ou NFC.

Si vous souhaitez donner votre avis sur l’Attestation Cryptographique de Personnalité, vous pouvez remplir le formulaire Google de Cloudflare : https://forms.gle/HQxJtXgryg4oRL3e8.