Turnstile, une alternative au CAPTCHA qui serait plus respectueuse de la vie privée





Cloudflare a annoncé la disponibilité de la version bêta de Turnstile, en prévision de sa conférence Connect qui se tiendra en octobre. Dans un billet de blogue publié cette semaine, l'entreprise explique que Turnstile est une alternative invisible et plus intelligente au CAPTCHA. La solution choisie automatiquement parmi une suite tournante de défis de navigateur qui fonctionnent dans les coulisses, à la recherche de signaux indiquant la présence d'un utilisateur humain. Turnstile peut régler avec précision la difficulté du défi, en présentant des défis plus difficiles aux visiteurs qui présentent des comportements non humains.Turnstile utilise le système Managed Challenge de Cloudflare, qui s'appuie sur le comportement des utilisateurs, les données du navigateur et, sur les appareils Apple, les jetons d'accès privés, pour distinguer les visiteurs humains des robots et des scripts. Cloudflare affirme que son système Managed Challenge a permis de réduire considérablement les CAPTCHA servis aux visiteurs de ses clients en un an. Le billet de blogue de Cloudflare indique en outre que ces défis permettent d'enquêter sur le visiteur, y compris la preuve du travail et de l'espace, la recherche d'API Web et "détecter les failles du navigateur et le comportement humain".« Cloudflare prend l'un des éléments les plus détestés de la technologie Internet et le rend plus facile, plus sûr et plus privé pour que tout le monde puisse l'utiliser. Turnstile est semblable à notre application 1.1.1.1 qui rend chaque utilisateur et l'Internet plus sûr, et nous sommes ravis de le partager avec les développeurs de toute taille et n'importe où, pour une expérience de l'utilisateur final améliorée et plus privée », a déclaré Matthew Prince, cofondateur et PDG de Cloudflare. La société a déclaré que Turnstile est maintenant disponible gratuitement pour les propriétaires de sites, qu'ils soient ou non clients de Cloudflare.Les CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) sont des outils que vous pouvez utiliser pour différencier les utilisateurs réels des utilisateurs automatisés, notamment les robots. Les CAPTCHA proposent des défis difficiles à réaliser pour les ordinateurs, mais relativement faciles pour les humains. Par exemple, identifier des lettres ou des chiffres étirés, ou cliquer dans une zone spécifique. Cependant, les CAPTCHA sont également considérés comme une expérience utilisateur terrible qui sacrifie la vie privée des internautes en récoltant leurs données personnelles à travers les défis qu'ils résolvent.Par exemple, le reCAPTCHA de Google, qui domine le marché, peut demander aux utilisateurs de se connecter à leur compte Google en guise de vérification. Personne ne devrait avoir à donner des informations privées lorsqu'il s'agit simplement de prouver qu'il n'est pas un robot. Google a acheté reCAPTCHA en 2009 et l'a utilisé très tôt pour résoudre des problèmes tels que la numérisation de livres, les numéros de maison dans Street View et, comme vous pouvez le deviner, l'identification d'objets tels que des escaliers, des palmiers, des taxis et autres dans les outils de reconnaissance d'images. Autant de choses pour lesquelles la solution est décriée.Cloudflare estime que l'omniprésence du CAPTCHA est l'une des forces de Google, car le géant de la recherche dispose d'une base stable et constamment mise à jour de données de résolution et de comportement sur laquelle il peut s'appuyer. « Google affirme qu'il n'utilise pas ces données pour le ciblage publicitaire, mais au bout du compte, Google est une société de vente d'annonces publicitaires », a déclaré Cloudflare. Par exemple, un défi fréquent demandait aux utilisateurs de saisir leur nom, de dire s'ils préfèrent les aubergines ou les carottes et de cliquer sur chacune des 27 images représentant un train.Cloudflare lui-même était autrefois un utilisateur de reCAPTCHA. Mais à un moment donné, Cloudflare a opté pour un service appelé hCAPTCHA. John Graham-Cumming, directeur technique de Cloudflare, a déclaré que les réactions négatives et les frais imposés par certains services CAPTCHA sont en partie à l'origine de sa décision de développer Turnstile. Selon Cloudflare, les défis varient selon les visiteurs, et l'apprentissage automatique (ML) peut mettre à jour le modèle avec les caractéristiques communes des visiteurs qui ont précédemment passé un test. L'utilisateur ne voit qu'un widget "Verifying" pendant un instant, puis "Success !".Cloudflare a annoncé que grâce à cette technologie, l'entreprise a réduit sa propre utilisation des CAPTCHA de 91 % et a réduit le temps passé par le visiteur dans un défi, passant d'une moyenne de 32 secondes à une moyenne d'une seconde seulement pour lancer les défis non interactifs. « Nous travaillons sur une solution depuis des années et avons expliqué sur notre blogue, il y a quelques mois, comment nous avons réduit notre propre utilisation des CAPTCHA de 91 %. Puisque nous avons prouvé que cela fonctionnait pour nous, nous voulions donner à tout le monde la possibilité de se débarrasser des CAPTCHA », a écrit Cloudflare.Pour déployer Turnstile, les administrateurs Web créent un compte Cloudflare et obtiennent le code d'intégration nécessaire, qu'ils collent ensuite dans le code de leur site Web. Après avoir ajouté un appel côté serveur à l'API Turnstile de Cloudflare, le service est opérationnel. Tout site peut appeler l'API. « Si vous utilisez un service CAPTCHA existant aujourd'hui, il s'agit simplement de trouver et de remplacer la chaîne de code. Il est compatible avec tout autre fournisseur de réseau. Vous n'avez pas besoin d'utiliser d'autres services Cloudflare, comme notre réseau de diffusion de contenu, pour utiliser Turnstile », explique Graham-Cumming.Mais beaucoup sont sceptiques par rapport aux déclarations de Cloudflare, alléguant notamment que l'entreprise pourrait être tentée de détourner Turnstile lorsqu'il va devenir populaire auprès de la communauté, comme l'a fait Google avec sa solution reCAPTCHA. Cloudflare - à l'origine un réseau de diffusion de contenu qui s'est développé dans la sécurité, l'hébergement et presque tous les autres aspects de cloud computing - cite sa mission de "contribuer à construire un meilleur Internet" comme la raison pour laquelle il offre un service de vérification gratuit. Détourner Turnstile pourrait accroître le contrôle de Cloudflare sur Internet.La société, dont les services de proxy inverse sont utilisés par près de 20 % de tous les sites (une panne des services de Cloudflare est tout de suite ressentie dans le monde entier), a récemment fait parler d'elle pour son long débat sur l'abandon de Kiwi Farms, un site où les utilisateurs organisaient des campagnes de harcèlement contre les personnes trans, non binaires, etc. Cloudflare a longtemps desservi le site avant de le bloquer en raison de dangers imminents pour les personnes victimes de ces campagnes de harcèlement. La société a également été critiquée pour sa décision de ne pas se retirer de la Russie après l'invasion de l'Ukraine.Cloudflare a également été accusé au début du mois de protéger l'industrie DDoS, tout en vendant des services pour atténuer de telles attaques. Un développeur qui fournissait des booters a critiqué Cloudflare pour avoir protégé cette industrie. Dans le monde de la sécurité informatique, un booter est un type de service qui fournit des attaques DDoS aux clients. L'entreprise a suscité la polémique après avoir publié un billet de blogue expliquant les circonstances dans lesquelles les sites Web abusifs sont éligibles à ses services. Cloudflare tentait en effet de clarifier pourquoi l'entreprise modère parfois le contenu abusif et parfois non.Cloudflare affirme que Turnstile est tout aussi sécurisé que CAPTCHA, tirant parti de fonctionnalités telles que les jetons d'accès privés pour minimiser la quantité de données collectées. Nouvellement mis en œuvre dans iOS 16 et macOS Ventura, les jetons d'accès privés fonctionnent en faisant en sorte qu'un appareil envoie des informations d'authentification anonymes - des jetons - à un site Web compatible sans exposer d'informations sensibles sur lui-même. Cloudflare et le service rival Fastly ont été parmi les premiers à annoncer la prise en charge des jetons d'accès privé avec le matériel Apple.La question est de savoir si les sites seront persuadés de déployer Turnstile plutôt que CAPTCHA. Selon une mesure, 97,7 % des sites Web les plus fréquentés utilisent reCAPTCHA de Google. Cloudflare indique qu'il travaille sur des plug-ins pour les principales plateformes comme WordPress afin de faciliter le déploiement de Turnstile. Mais il faudra probablement du temps pour convaincre les administrateurs que cela en vaut la peine - à supposer qu'ils soient un jour convaincus. Graham-Cumming a semblé plutôt indifférent, notant que Cloudflare n'a pas d'incitation commerciale évidente à favoriser l'adoption.« Nous avons développé une alternative, prouvé qu'elle fonctionne bien pour nous et l'avons ouverte à d'autres sites à peu près dès que nous avons pu. Puisque nous avons prouvé qu'elle fonctionnait bien pour nous, nous avons voulu donner à tout le monde la possibilité de se débarrasser de CAPTCHA. Notre mission est de contribuer à l'amélioration d'Internet. Nous pensons que le fait de le donner à n'importe quel site Web est un moyen d'y parvenir », a-t-il déclaré. Graham-Cumming a ajouté que les jetons d'accès privés sont le meilleur indicateur de la direction que Cloudflare souhaite prendre à l'avenir.Source : Turnstile