Si vous avez rencontré assez souvent une énigme captcha, vous avez compris : l’algorithme n’aime pas que les utilisateurs essaient de la résoudre. Le lézard que l’on vous présente n’est clairement pas un iguane, et le seul feu de signalisation au loin était tout juste visible. Cloudflare voit de nombreux problèmes avec le mécanisme de sécurité et a suggéré de le remplacer complètement.
Les captchas sont conçus pour empêcher les robots d’accéder aux sites web, afin que tous les utilisateurs soient humains. Selon Cloudflare, il faut actuellement environ 32 secondes à un utilisateur pour résoudre l’énigme. Il y a environ 4,6 milliards d’internautes, et l’internaute moyen rencontre un captcha tous les dix jours environ. Cela signifie qu’environ 500 années de temps productif par jour sont gaspillées à résoudre des captchas.
Le World Wide Web Consortium (W3C) semble avoir critiqué le système en 2003. Des facteurs tels qu’un algorithme plus complexe et des différences culturelles rendraient la résolution de la question courte encore plus difficile de nos jours. Les utilisateurs de petits appareils mobiles sont également désavantagés, sans parler des utilisateurs souffrant de handicaps physiques ou cognitifs. Le développeur de logiciels affirme que toute personne devrait pouvoir prouver qu’elle est humaine en utilisant des données biométriques, sans que cela n’affecte sa vie privée.
Cloudflare a donc conçu un système qui utilise une empreinte digitale ou votre visage. Il utilise une clé 2FA physique de type YubiKey, HyperFIDO ou Thetis. La confirmation cryptographique de votre humanité repose sur l’API d’authentification Web, qui est normalisée par le W3C et est déjà présente dans presque tous les navigateurs Web et systèmes d’exploitation. L’interface d’authentification doit également être la même sur toutes les plateformes. Le processus d’authentification est le suivant :
- L’utilisateur demande l’accès à un certain site web avec la protection du bot ;
- Cloudflare fournit l’option d’authentification ;
- L’utilisateur clique sur “Je suis un humain”, il lui demande un certain dispositif de sécurité ;
- L’utilisateur choisit une clé de sécurité matérielle et l’insère dans l’appareil ou utilise la technologie nfc ;
- Une confirmation cryptographique est envoyée à Cloudflare, après environ cinq secondes, la demande est confirmée.
