La fin des CAPTCHA grâce aux clés dédiées à la double authentification ?

Qui n’a jamais pesté contre un site dont le CAPTCHA nous oblige à cliquer plusieurs fois sur les « bonnes » images sous prétexte qu’on aurait mal interprété sa requête ? Il faut reconnaître que cela tourne parfois au casse-tête lorsqu’il faut identifier tous les éléments concernant des feux de signalisation ou des passages piétons. Résultat, nous perdons quelques précieuses secondes à passer cette épreuve.

Selon Cloudflare, un fournisseur de Content Delivery Network (un maillon essentiel de l’internet puisque cette mise en réseau d’ordinateurs permet de réduire les temps d’accès à des sites), « 500 années humaines sont gaspillées chaque jour, juste pour que nous prouvions notre humanité ». Pour trouver ce chiffre impressionnant, Cloudflare s’appuie sur la base de calcul suivante : 32 secondes en moyenne pour compléter un CAPTCHA, un test effectué tous les 10 jours et 4,6 milliards d’internautes dans le monde.

Contourné à 99 % par des robots-logiciels…

Mais pourquoi met-on autant de secondes à trouver les bonnes images ? Le fameux acronyme signifie « Completely Automated Public Turing test to tell Computers and Humans Apart » et c’est une marque commerciale déposée par l’université Carnegie-Mellon.

Apparue dans les années 90, cette méthode permet aux sites de se prémunir contre certaines cyberattaques, les spams ou encore la récupération de données. L’objectif est donc de différencier de façon automatisée l’intelligence humaine de celle d’une machine. Une version plus récente, appelée reCAPTCHA, a été développée pour compliquer la tâche des robots-logiciels. Ce système a été racheté en 2009 par Google. Indirectement, en cochant ces fameuses cases, nous aidons Google à améliorer gratuitement son IA.

Mais manifestement, ce dispositif n’est pas vraiment efficace. Les premiers CAPTCHA se présentaient sous la forme d’un texte modifié de manière à ce que les robots ne puissent pas le lire. Si, au départ, ils ont eu beaucoup de succès, les progrès rapides de l’informatique ont fait que les logiciels ont pu lire ce que disait le texte. Et ces derniers ont continué à progresser au point qu’en 2014, Google avait constaté que reCAPTCHA pouvait être contourné par les robots dans plus de 99 % des cas.

Des clés pour s’identifier

Sur son blog, Cloudflare indique qu’il faut « se débarrasser complètement des CAPTCHA » en les remplaçant par une autre méthode prouvant que nous sommes un être humain. Le fournisseur américain évoque l’idée d’une « Attestation cryptographique de personnalité ».

Elle pourrait être prise en charge par des clés dites de « double authentification » comme les clés YubiKeys, HyperFIDO et Thetis FIDO U2F, trois marques qui font partie de l’Alliance FIDO. Ces petites clés USB permettent de renforcer la confidentialité de ses identifiants puisqu’en plus de taper son login et son mot de passe, il est nécessaire d’appuyer sur leur petit bouton intégré pour valider son compte.

L’attestation cryptographique de personnalité s’appuie sur l’attestation d’authentification Web (WebAuthn). Il s’agit d’une API (application programming interface) qui a été validée par le World Wide Web Consortium, un organisme de standardisation à but non lucratif. Cette API est déjà mise en œuvre dans la plupart des navigateurs Web et des systèmes d’exploitation. Elle vise à fournir une interface standard pour authentifier les utilisateurs et utiliser la capacité de cryptographie de leurs appareils.

Selon Cloudflare, « trois clics au maximum sont nécessaires pour compléter une attestation cryptographique de personnalité ». De quoi facilement oublier les CAPTCHA qui nous redemandent de cliquer plusieurs fois sur les images montrant une colline…

Cette nouvelle méthode présenterait également un avantage majeur en termes d’accessibilité, car les personnes souffrant d’un handicap visuel ne sont pas toujours en mesure de répondre aux CAPTCHA sous leur forme actuelle.