Captcha est bien connu et ennuyeux, et même si je ferais beaucoup pour ne plus jamais avoir à reconnaître les signaux de trafic, le nouveau système de clé de sécurité de Cloudflare ne rend pas les tracas plus supportables, ni même tout aussi sécurisés.
Rencontrer un captcha en naviguant sur Internet ressemble généralement à ceci : est-ce un palmier ou un arbre normal ? C’est un petit coin du passage pour piétons ou une tache blanche ? Suis-je un robot ou un humain ?
Cloudflare ne veut pas endurer la douleur, mais veut plutôt éliminer CAPTCHA avec son nouveau système de sécurité, appelé « preuve de personnalité par mot de passe ». Le logiciel utilise actuellement une clé de sécurité USB physique, telle que Yubikey, pour s’enregistrer lorsque vous touchez ou regardez l’appareil.
Ceci, associé au branchement de l’USB sur votre ordinateur tout en exécutant le logiciel (actuellement en version bêta), vérifiera en toute sécurité votre statut personnel.
Si vous possédez une telle clé USB, vous pouvez tester vous-même le logiciel sur cloudflarechallenge.com. J’ai jeté un coup d’oeil sans la clé et vous voyez toujours l’idée. Le bouton proéminent « Je suis humain » est facile à trouver et à cliquer, et il vous guide pour brancher votre appareil et le toucher.
En surface, c’est certainement plus facile et plus rapide que de loucher sur une image granuleuse. Mais cela transforme également la navigation sur Internet en un cauchemar d’authentification à deux facteurs. Au lieu de cliquer sur le bus, je devrai me démener pour trouver ma clé USB, la brancher et la toucher, ce qui présente son propre ensemble de défis. D’une part, ajouter un autre appareil est un carburant absolument cauchemardesque pour quelqu’un d’aussi distrait que moi. Pour deux personnes, compter sur des périphériques USB est une gêne pour ceux qui ont des ordinateurs qui n’ont pas de ports USB (comme les derniers MacBook Pro).
Cloudflare reconnaît que les clés de sécurité USB ne sont pas le gadget le plus courant, il vise donc à intégrer le logiciel dans les smartphones à l’avenir. Oui, même si cela simplifierait le nombre d’appareils nécessaires pour être une personne sur Internet, il ne s’agit pas d’un seul appareil pour mon ordinateur. Comme le système 2FA actuel, il m’oblige toujours à gémir lorsque je me lève de mon ordinateur portable et que je prends mon téléphone pour vérifier mon identité.
Bien que j’apprécie la sécurité accrue et la nécessité de 2FA, je le déteste un peu. Les sites qui nécessitent actuellement une authentification à deux facteurs via des applications comme OneLogin ou Google One me font me sentir extrêmement dépendant de mon smartphone. Ils provoquent toujours une panique différente mais atroce lors de la tentative de connexion.
Mais bien sûr, en supposant que j’ai un os paresseux spécial, cela pourrait en fait être un bon moyen de protéger votre identité et votre sécurité en ligne. Hélas, Cloudflare lui-même a admis ses propres failles de sécurité.
Voir aussi : Google active la vérification en 2 étapes par défaut
La version actuelle utilise une clé USB et s’appuie sur un capteur tactile pour l’authentification afin de différencier les humains des robots. Mais comme le souligne Ackermann Yuriy, PDG de la société de conseil Webauthn Works, « L’authentification ne prouve rien d’autre que le modèle de l’appareil. » Le processus d’attestation vérifie essentiellement le fabricant de votre clé de sécurité, la paire de clés Encodée avec un secret de confiance envoyé à Cloudflare. Mais en théorie, une fois l’appareil acheté par un humain, il peut être opéré par un robot.
Cloudflare a déclaré sur son propre blog qu’un oiseau buveur (ces jouets de dessin animé qui plongent à plusieurs reprises leur bec dans l’eau) peut activer des capteurs tactiles pour passer les tests de certification. Il défend cela en disant que ce sera plus lent que les autres robots professionnels de résolution de CAPTCHA, alors au moins ils essaient ?
Le plus grand avantage du système Cloudflare est une accessibilité accrue pour les personnes ayant des déficiences cognitives ou visuelles. Alors que l’identification d’objets aléatoires est un problème pour la plupart des gens, les captchas sont en grande partie insolubles pour ces utilisateurs, et les objets physiquement sécurisés peuvent être une aide bienvenue.
Dans un monde idéal, la méthode de preuve de Cloudflare serait probablement une mesure de sécurité facultative en plus du CAPTCHA sur la plupart des sites, plutôt que de le remplacer entièrement. Oui, échouer le captcha me demandant de cliquer sur la bouche d’incendie pourrait me faire remettre en question mon humanité, mais je suppose que je choisis de le défendre et de continuer à cliquer. Au moins c’est une expérience commune,