Apple va en finir avec les captchas, ces tests qui vous obligent à prouver que vous êtes humain

Apple vise la fluidité. Non contente d'avoir déjà présenté des éléments permettant à terme de remplacer les mots de passe à l'aide de la biométrie et de clés cryptographiques (Passkeys), la firme à la pomme a aussi dévoilé en ce mois de juin un moyen de contourner un autre barrage régulièrement dressé sur la route d'un utilisateur numérique: les captchas.

Qu'ils consistent à retourner une image dans le bon sens, à déchiffrer une série de caractères aux polices exotiques, ou même à identifier la présence d'une roue de vélo sur une image floue tirée des profondeurs du net, ils ralentissent aujourd'hui la navigation. La contrepartie d'une mesure de sécurité, visant à s'assurer que les utilisateurs se connectant à un site et son serveur ne sont pas des robots aux intentions malveillantes.

Mais les captchas, au-delà de leur praticité, posent selon Apple plusieurs problèmes: ils rebutent des clients potentiels pour les marques, obligent à une identification et font donc porter un risque en termes de confidentialité, et demeurent peu accessibles à des utilisateurs qui ne parviendraient pas à résoudre ces puzzles pour diverses raisons.

Un utilisateur identifié en amont

Sur iOS 16, iPadOS 16 et macOS Ventura, Apple va donc mettre en place une nouvelle approche entièrement automatisée, basée sur ce que le groupe appelle les "Private Access Tokens". Les internautes seront authentifiés automatiquement, sans s'en rendre compte.

En pratique, les serveurs du site habituellement protégé feront la demande d'une authentification, qui arrivera au terminal de l'internaute, que ce soit un iPhone, un iPad ou un Mac. Cette requête naviguera ensuite en interne dans les installations d'Apple.

L'identité de la personne sera vérifiée par Apple en utilisant les données stockées dans le terminal lui-même: mots de passe, connexion récente via une reconnaissance faciale... C'est à ce stade qu'Apple pourra identifier des terminaux potentiellement compromis ou des utilisateurs dont les usages ne sont pas normaux.

Une fois ce sas de sécurité passé, un token attestant de la conformité de l'utilisateur sera renvoyé vers le terminal, puis vers le serveur l'ayant demandé. L'accès au site web sera ouvert, sans que des données personnelles appartenant à l'internaute n'y fuitent.

Google a des projets similaires

Cette nouvelle méthode, censé être complètement indolore pour le site et pour l'internaute, sera donc accessible via iOS 16. Seule embûche ensuite: rendre compatibles les serveurs de tous les sites avec ce nouveau protocole. Pour ce faire, Apple s'est adjoint les services de Cloudfare et de Fastly, qui distribuent des contenus sur un important réseau de sites.

Google développe de son côté une offre similaire, déjà disponible, et nommée Privacy Pass. Disponible sur Chrome, elle emploie également les services de Cloudflare.