Cloudflare a déclaré mercredi qu'il abandonnait le détecteur de robots reCAPTCHA de Google pour un service similaire appelé hCaptcha par souci de confidentialité, de disponibilité, mais surtout de coût.
L’entreprise a avancé qu’elle avait initialement adopté reCAPTCHA car il était gratuit, efficace et fonctionnait à grande échelle. Certains clients Cloudflare ont toutefois exprimé des réserves quant à l'envoi de données à Google.
Le reCAPTCHA v3 de Google, utilisé sur environ 1,2 million de sites Web, permet aux éditeurs Web de présenter des puzzles appelés CAPTCHA (test de Turing public entièrement automatisé pour distinguer les ordinateurs et les humains) qui peuvent généralement, mais pas toujours, distinguer l'interaction automatisée d'un site Web de l'engagement humain . Le point de présenter de tels défis est d'empêcher les robots d'enregistrer de faux comptes et de mener d'autres types d'abus en ligne.
Dans un billet de blog, le PDG Matthew Prince et le chef de produit Sergi Isasi ont noté que même si Google est une entreprise de publicité et Cloudflare ne l'est pas, Cloudflare s'est néanmoins réconcilié avec la politique de confidentialité de Google bien que cela a rendu certains clients méfiants.
Cloudflare a également été préoccupé par la disponibilité de reCAPTCHA en Chine, étant donné que les services Google y sont bloqués par intermittence. La Chine abrite environ un quart des utilisateurs d'Internet dans le monde, de sorte qu'un nombre important de personnes pourraient ne pas pouvoir accéder à des sites Web barricadés derrière des tests reCATPCHA inaccessibles.
Prince et Isasi notent que Cloudflare a eu quelques problèmes avec cette situation en Chine et ailleurs, mais cela n'a pas été suffisant pour justifier une action. La goutte d’eau qui a fait déborder le vase et les a poussé à l’action est venue plus tôt cette année, lorsque Google a déclaré à Cloudflare qu'il prévoyait de commencer à facturer reCAPTCHA, un service qu'il avait précédemment offert gratuitement, profitant simplement des réponses que les gens fournissent pour améliorer ses services et ses systèmes d'apprentissage automatique.
Le début
Le PDG de Cloudflare raconte comment et pourquoi son entreprise a choisi reCaptcha :
« L'un des services fournis par Cloudflare est un moyen de bloquer le trafic automatisé malveillant («bot»). Nous utilisons un certain nombre de techniques pour y parvenir. Lorsque nous sommes convaincus que quelque chose est une activité malveillante d’un bot, nous la bloquons entièrement. Lorsque nous sommes convaincus qu'il s'agit d'un bon trafic humain (ou d'un bon bot comme un bot de recherche), nous le laissons passer. Mais, parfois, lorsque nous ne sommes pas sûrs à 100% si quelque chose est malveillant ou bon, nous le lançons un «défi».
« Nous avons différents types de défis, certains sont entièrement automatiques, mais l'un requiert une intervention humaine. Ces défis sont connus sous le nom de CAPTCHA. C'est un acronyme pour Test de Turing public complètement automatisé pour distinguer les ordinateurs et les humains. Ce sont les invites pour entrer des lettres ondulées dans une boîte ou identifier les feux de circulation ou les passages pour piétons. Généralement, ils sont censés être quelque chose de facile à faire pour les humains mais difficile pour les machines.
« Depuis les premiers jours de Cloudflare, nous utilisons le service reCAPTCHA de Google. reCAPTCHA a commencé en tant que projet de recherche à l'Université Carnegie Mellon en 2007. Google a acquis le projet en 2009, à peu près au même moment que Cloudflare faisait ses débuts. Google a fourni gratuitement reCAPTCHA en échange des données du service utilisé pour former ses systèmes d'identification visuelle. Lorsque nous recherchions un CAPTCHA pour Cloudflare, nous avons choisi reCAPTCHA car il était efficace, pouvait évoluer et était offert gratuitement - ce qui était important car de nombreux clients de Cloudflare utilisent notre service gratuit ».
Le contexte
Il a également évoqué des craintes relatives à la vie privée et au blocage :
« Depuis ces premiers jours, certains clients se sont dits préoccupés par l'utilisation d'un service Google pour servir les CAPTCHA. Les activités de Google ciblent les utilisateurs avec de la publicité. Cloudflare ne le fait pas. Nous avons des engagements de confidentialité stricts. Nous avons pu nous familiariser avec la politique de confidentialité concernant reCAPTCHA, mais nous avons compris pourquoi certains de nos clients étaient préoccupés par la fourniture de davantage de données à Google.
« Nous avons également rencontré des problèmes dans certaines régions, comme la Chine, où les services de Google sont bloqués par intermittence. La Chine représente à elle seule 25% de tous les utilisateurs d'Internet. Étant donné cela, le fait que certains sous-ensembles de ceux-ci ne pourraient pas accéder aux clients de Cloudflare s'ils déclenchaient un CAPTCHA nous préoccupait toujours.
« Au fil des ans, les problèmes de confidentialité et de blocage ont été suffisants pour nous faire penser à abandonner reCAPTCHA. Mais, comme la plupart des entreprises technologiques, il était difficile de prioriser la suppression de quelque chose qui fonctionnait largement par de toutes nouvelles fonctionnalités pour nos clients ».
La cerise sur le gâteau était le changement de modèle d'entreprise chez Google :
« Plus tôt cette année, Google nous a informés qu'ils allaient commencer à facturer reCAPTCHA. C'est tout à fait dans leur droit. Cloudflare, compte tenu de notre volume, a sans aucun doute imposé des coûts importants au service reCAPTCHA, même pour Google.
« Encore une fois, c'est tout à fait rationnel pour Google. Si la valeur de la formation en classification d'images n'a pas dépassé ces coûts, il est parfaitement logique que Google demande le paiement du service qu'ils fournissent. Dans notre cas, cela aurait ajouté des millions de dollars en coûts annuels juste pour continuer à utiliser reCAPTCHA pour nos utilisateurs gratuits. Cela a finalement suffi à nous inciter à chercher une meilleure alternative ».
hCAPTCHA
« Nous avons évalué un certain nombre de fournisseurs de CAPTCHA ainsi que la construction d'un système nous-mêmes. Au final, hCaptcha s'est révélé être la meilleure alternative à reCAPTCHA. Les solutions hCaptcha nous ont plu: 1) ils ne vendent pas de données personnelles; ils ne collectent que le minimum de données personnelles nécessaires, ils sont transparents dans la description des informations qu'ils collectent et comment ils les utilisent et / ou les divulguent, et ils ont accepté de n'utiliser ces données que pour fournir le service hCaptcha à Cloudflare; 2) les performances (à la fois en vitesse et en taux de résolution) étaient aussi bonnes ou meilleures que prévu lors de nos tests A / B; 3) ils disposent d’une solution robuste pour les malvoyants et autres utilisateurs ayant des problèmes d'accessibilité; 4) ils ont soutenu le Privacy Pass pour réduire la fréquence des CAPTCHA; 5) leur solution fonctionnait dans les régions où Google était bloqué; et 6) l'équipe hCaptcha était agile et réactive.
« Le modèle commercial hCaptcha standard était similaire à la façon dont reCAPTCHA a commencé. Ils prévoyaient de facturer les clients qui avaient besoin de données de classification d'images et de payer les éditeurs pour installer leur CAPTCHA sur leurs sites. Cela nous paraissait très bien, mais, malheureusement, même si cela peut bien fonctionner pour la plupart des éditeurs, cela ne marche pas à l'échelle de Cloudflare.
« Nous avons travaillé avec hCaptcha de deux manières. Premièrement, nous sommes en train de tirer parti de notre plateforme Workers pour supporter une grande partie de la charge technique des CAPTCHA et, ce faisant, réduire leurs coûts. Et, deuxièmement, nous avons proposé qu'au lieu de nous payer, nous les payions. Cela leur a permis de disposer des ressources nécessaires pour adapter leur service à nos besoins. Bien que cela ait imposé des coûts supplémentaires, ces coûts n'étaient qu'une fraction de ce que reCAPTCHA aurait représenté. Et, en échange, nous avons une plateforme CAPTCHA beaucoup plus flexible et une équipe beaucoup plus réactive ».
Source : Cloudflare
Et vous ?
Que pensez-vous des CAPTCHA en général et de reCAPTCHA en particulier ?
Que pensez-vous de la décision de Cloudflare d'abandonner la solution de Google ?
Avez-vous déjà entendu parler de l'alternative hCAPTCHA ? Qu'en pensez-vous ?
Cloudflare a décidé d'abandonner reCAPTCHA de Google pour se tourner vers le service alternatif hCaptcha
Parce que Google va facturer l'utilisation du service
Cloudflare a décidé d'abandonner reCAPTCHA de Google pour se tourner vers le service alternatif hCaptcha
Parce que Google va facturer l'utilisation du service
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !