« L'humanité gaspille environ 500 ans par jour sur les captchas. Il est temps de mettre fin à cette folie », a lancé Thibault Meunier, ingénieur chez Cloudflare, dans un billet sur le blog de la société. « Aujourd'hui marque le début de la fin des bornes d'incendie, des passages pour piétons et des feux de signalisation sur Internet ». L’idée est assez simple : chacun devrait pouvoir prouver qu’il est humain sans avoir à révéler son identité. Pour cela, le fournisseur de CDN, répartition de charge et de sécurité réseau souhaite proposer des clés USB de sécurité adossés à un certificat cryptographique pour remplacer les captchas existants.

Plus universel et rapide que le captcha

L'objectif de CloudFlare est de se débarrasser totalement des captchas en prouvant que l'utilisateur est bien un humain en liant une clé de sécurité matérielle à une « attestation cryptographique de personnalité ». L’entreprise propose de tester directement sur son site ce certificat digital sécurisé reposant sur l'API WebAuthN standardisée par le W3C. L’opération, au-delà de sa rapidité, pourrait également répondre à certaines contraintes soulevées par l’utilisation du captcha, notamment pour les personnes souffrant d'un handicap visuel qui ne sont pas toujours en mesure de les remplir sous leur forme actuelle.

En pratique, le processus pourrait se dérouler de la façon suivante : accès à un site web protégé par attestation cryptographique de personnalité, utilisation par l'utilisateur d'une clé de sécurité matérielle (branchée sur un port USB ou reconnue via NFC) et validation de l'attestation cryptographique après vérification du test de présence de l'utilisateur. A ce jour, le dernier service de Cloudflare fonctionnerait sur de multiples environnements d'exploitation et navigateurs web aussi bien iOS 14.5, Android 10 et plus (uniquement Chrome), Windows, macOS et Ubuntu.

La phase de test lancée

Seulement 3 clics suffisent à valider l'attestation cryptographique de personnalité selon Cloudflare contre une dizaine avec les traditionnels captchas. Le fournisseur indique que son service est toutefois limité pour l'instant aux régions anglophones. Dans son état actuel, la solution ne fonctionne qu'avec une poignée de tokens physiques mais tous membres de l'alliance FIDO : YubiKeys, HyperFIDO et Thetis FIDO U2F. Face à d’éventuelles craintes de non-respect de la vie privée, Cloudflare indique rester très attentif sur cette question. L’entreprise précise ne stocker aucune caractéristique personnelle telles que des empreintes digitales et ne pas associer l'identifiant unique utilisateur avec une clé de sécurité physique.