Cloudflare a récemment fait une affirmation audacieuse : nous pourrions tous faire quelque chose de mieux de notre vie que de décider quelles images contiennent des passages pour piétons ou des feux stop ou de cliquer sur une case à cocher « Je ne suis pas un robot ». Désormais, la société de services cloud propose une alternative CAPTCHA gratuite, Turnstile, accessible à tous, client Cloudflare ou non, et appelant spécifiquement le rôle de Google dans l’hégémonie existante « prouvez que vous êtes un humain ».

Turnstile utilise le système Managed Challenge de Cloudflare, qui s’inspire du comportement de l’utilisateur, des données du navigateur et, sur les appareils Apple, des jetons d’accès privés, pour distinguer les visiteurs humains des bots et des scripts. Cloudflare affirme que son système Managed Challenge a pu réduire de 91 % les CAPTCHA servis aux visiteurs de ses clients sur un an.

Les intégrations de tourniquet exécutent « une série de petits défis JavaScript non interactifs » pour enquêter sur le visiteur, y compris la preuve de travail et d’espace, la recherche d’API Web et « divers autres défis pour détecter les bizarreries du navigateur et le comportement humain », indique le message de Cloudflare. Les défis varient selon les visiteurs, et l’apprentissage automatique peut mettre à jour le modèle avec les caractéristiques communes des visiteurs qui ont déjà réussi un test. L’utilisateur ne voit qu’un widget « Vérification… » pendant un instant, puis « Succès ! »

Cloudflare affirme qu’au-delà de la gêne et de la perte de temps, les CAPTCHA (qui signifie « Completely Automated Public Turing test to tell Computers and Humans Apart ») sont largement contrôlés par Google via son service reCAPTCHA. Le service de Google avait annoncé en 2017 qu’il deviendrait en grande partie invisible dans les versions plus récentes, en utilisant le même navigateur et des conseils de comportement sur l’humanité que Cloudflare vante pour éliminer même la case à cocher non-robot. Un aspect de cette preuve que les chercheurs en sécurité semblaient comprendre : être connecté à un compte Google.

« Google dit qu’ils n’utilisent pas ces informations pour le ciblage publicitaire, mais en fin de compte, Google est une société de vente d’annonces », indique le message de Cloudflare.

Google a acheté reCAPTCHA en 2009 et l’a utilisé très tôt pour résoudre des problèmes tels que la numérisation de livres, les numéros de maison Street View et, comme vous l’avez probablement deviné, l’identification d’objets tels que des escaliers, des palmiers, des taxis, etc. dans les outils de reconnaissance d’images. Cloudflare note que l’omniprésence de CAPTCHA est l’une de ses forces, car il dispose d’une base stable et constamment mise à jour de données de résolution et de comportement sur lesquelles s’appuyer.

Le reCAPTCHA de Google propose depuis 2017 un mode « invisible » en V2 et une V3 qui « n’interrompra jamais vos utilisateurs ». La plupart des internautes voient encore leur juste part de grilles de sélection de photos et de cases à cocher anti-robot, probablement en raison de sites et de développeurs qui n’ont pas mis à niveau vers des versions plus récentes ou, potentiellement, qui semblent « suspects » d’un algorithme inconnu.

Cloudflare, à l’origine un réseau de diffusion de contenu qui s’est développé dans la sécurité, l’hébergement et presque tous les autres aspects du cloud computing, cite sa mission « d’aider à construire un meilleur Internet » comme raison pour laquelle il offre un service de vérification gratuit. La société, dont les services de proxy inverse sont utilisés par près de 20% de tous les sites, a récemment fait la une des journaux pour son long débat sur l’abandon du site haineux Kiwi Farms et sa décision de ne pas se retirer de Russie après avoir envahi l’Ukraine.