Apple a franchi plusieurs étapes vers un avenir sans mot de passe lors de sa conférence mondiale des développeurs, mais une autre partie de sa stratégie consistera à remplacer CAPTCHA (Completely Automated Public Turing Test to Differentiate Computers and Humans) par une solution plus privée.

Présentation : jetons d'accès privés

Apple travaille avec Cloudflare (avec qui la plupart pensent avoir développé la technologie derrière iCloud Private Relay). Il travaille également avec Google et Fastly pour mettre en œuvre une alternative standardisée au CAPTCHA appelée jetons d'accès privés.

Nous nous sommes tous habitués à rencontrer des requêtes CAPTHA lorsque nous travaillons en ligne. Le nombre de passages pour piétons et de taxis que la plupart des gens ont identifiés sur les photographies doit sûrement se compter en milliards, et c'est parfois une étape supplémentaire ennuyeuse de suivre le processus lors de la connexion ou de la création de nouveaux comptes en ligne.

Le processus met également au défi les utilisateurs ayant des problèmes d'accessibilité ou des barrières linguistiques.

Un autre problème est que les serveurs CAPTCHA s'appuient parfois sur les empreintes digitales/suivi des clients utilisant leur adresse IP, ce qui ne reflète pas les mesures prises par l'industrie pour protéger la confidentialité des utilisateurs. Et bien que le processus aide à protéger les services et leurs serveurs contre les activités frauduleuses, il ajoute de la friction à l'expérience utilisateur.

Ainsi, CAPTCHA remplit son objectif, mais au détriment de l'expérience utilisateur, de la confidentialité et de l'accessibilité.

Les jetons d'accès privés essaient de trouver un meilleur moyen.

Que sont les jetons d'accès privés ?

La théorie derrière les jetons d'accès privés est qu'au moment où vous arrivez sur un site Web, vous avez déjà franchi des obstacles difficiles à imiter pour un bot. Vous utilisez probablement un appareil déjà déverrouillé à l'aide d'une autorisation biométrique ou d'un code d'accès. Sur les plates-formes Apple, les utilisateurs sont susceptibles de se connecter à l'appareil avec un identifiant Apple et d'utiliser probablement une application signée par code. Les jetons d'accès privés utilisent ces informations pour établir la confiance au sein de la technologie actuellement normalisée par le groupe de travail IETF Privacy Pass.

Apple a montré deux appareils accédant au site Web FT.com pour le démontrer. Le premier appareil iOS 15 devait remplir les détails du compte, puis utiliser CAPTCHA pour se connecter ; l'appareil iOS 16 a simplement visité le site pour se connecter, aucune interaction requise.

Lorsque vous considérez combien de fois par jour vous ou vos clients devez vous connecter pour la première fois, les avantages des jetons d'accès privés semblent clairs.

Que se passe-t-il en pratique ?

Si j'ai bien compris, voici le processus qui se déroule:

  • L'appareil et le service/site Web doivent d'abord introduire la prise en charge des jetons d'accès privés.
  • Les serveurs demanderont des jetons à l'aide d'une nouvelle méthode d'authentification HTTP appelée PrivateToken, qui utilise des techniques cryptographiques pour vérifier qu'un utilisateur a réussi ce qu'on appelle une "vérification d'attestation".
  • Une vérification d'attestation peut être comprise comme une déclaration hautement sécurisée, privée et digne de confiance qui indique au serveur que la demande provient d'un demandeur de bonne foi.
  • Le processus cache des informations personnelles et s'appuie (dans le cas d'Apple, bien que d'autres implémentations puissent varier) sur un service d'attestation iCloud (un "émetteur de jetons") qui vérifie l'utilisateur sans partager (ou apprendre) des informations personnelles à son sujet. .
  • Cloudflare et Fastly proposent désormais des services de tokenisation pour les services et les plateformes.
  • Cloudflare a déjà intégré la prise en charge des jetons d'accès privés dans sa plateforme Managed Challenge, de sorte que les clients utilisant déjà cette fonctionnalité profiteront automatiquement de cette nouvelle technologie pour améliorer l'expérience de navigation pour les appareils pris en charge.
  • Une fois le processus de certification terminé, le serveur sait que la demande n'est pas frauduleuse et émane d'une personne réelle.
  • Et il les laisse entrer sans CAPTCHA.

Il y a beaucoup plus dans le processus que ne le fournit cette explication quelque peu simplifiée. Par exemple, il protège également contre les demandes d'accès provenant d'appareils ou de bots compromis. Si vous voulez creuser un peu plus, les développeurs peuvent consulter cette présentation d'Apple, cette note sur Cloudflare, une autre de Fastly et l'introduction de Google à une technologie similaire appelée Chrome Trust Tokens. Enfin, pour une plongée plus approfondie, cet article décrit l'architecture du système et fournit aux développeurs Apple des détails supplémentaires pour aider à implémenter/prendre en charge la fonctionnalité.

Quel avenir a cette technologie chez Apple ?

Les bêta-testeurs iOS 16, iPad OS 16 et macOS Ventura d'Apple découvrent peut-être déjà la technologie s'ils se rendent sur un site ou un service qui prend déjà en charge la technologie, mais à moins qu'ils n'aiment vraiment pas les requêtes CAPTCHA, ils ne le feront probablement pas. Ils se rendront compte. . Bien sûr, au fil du temps, nous verrons de plus en plus de sites et de services introduire la prise en charge, la plupart des développeurs Apple choisissant iCloud pour la certification et des tiers, y compris les fournisseurs de technologie CAPTCHA existants, intégrant probablement la prise en charge des jetons d'accès privés dans leurs systèmes.

Cette technologie est loin d'être la seule amélioration de la sécurité et de la confidentialité annoncée par Apple à la WWDC. La société discutera aujourd'hui des outils pour assurer davantage la sécurité DNS au sein d'une application, et a également introduit la technologie d'authentification de nouvelle génération, Passkeys. Les clés d'accès sont un moyen hautement sécurisé d'accéder aux sites et aux services. La société a également déployé des améliorations impressionnantes en matière de sécurité et de confidentialité pour Safari, notamment une protection renforcée contre les vulnérabilités de script intersite. Plus à ce sujet ici.

Ce que disent Fastly et Cloudflare

Jana Iyengar, chef de produit, services d'infrastructure chez Fastly, a expliqué :

« Fastly est fier d'investir, de s'engager et de créer des technologies et des produits qui illustrent notre conviction que la sécurité et la confidentialité sont essentielles pour un Internet plus fiable. Nous travaillons activement avec nos partenaires de la communauté des normes pour ajouter plus de fonctionnalités aux jetons d'accès privés, telles que la limitation du débit pour la protection des médias et les certifications pour davantage de propriétés client. Il existe des applications potentielles intéressantes pour cette technologie - pensez à ce que vous pourriez faire avec des garanties cryptographiques qui exposent exactement ce qu'un site Web doit savoir sur un utilisateur, comme son âge. Fournir une garantie explicite sur ce type de flux de données peut protéger à la fois les utilisateurs et les sites Web.

Reid Tatoris et Maxime Guerreiro de Cloudflare ont écrit :

"Ce n'est que la première étape pour nous. Nous travaillons activement pour que d'autres clients et fabricants d'appareils utilisent également le cadre PAT. Chaque fois qu'un nouveau client commence à utiliser le framework PAT, le trafic de votre site à partir de ce client démarre automatiquement. demandant des jetons, et vos visiteurs verront automatiquement moins de CAPTCHA. Très bientôt, nous intégrerons PAT dans d'autres produits de sécurité.

Ce que cela signifie pour vous et votre entreprise

Parallèlement aux nombreuses autres solutions d'Apple pour protéger la confidentialité en ligne, l'intention de l'industrie de rendre de plus en plus difficile la corrélation des données de l'appareil avec l'identité personnelle signifie que la prise d'empreintes digitales devrait appartenir au passé. Les capitalistes de la surveillance qui échangent les données personnelles exfiltrées d'individus sans consentement exprès devront sûrement changer leurs modèles commerciaux, et ils le devraient.

Pris ensemble, ces changements devraient offrir des avantages extraordinaires à tous les utilisateurs tout en établissant des boucliers supplémentaires pour que les entreprises se protègent contre les tentatives sophistiquées de collecte de données personnelles pour saper la sécurité des terminaux ou pénétrer les réseaux.

Suivez-moi sur Twitter ou rejoignez-moi au bar & grill AppleHolic et aux groupes de discussion Apple sur MeWe.

Copyright © 2022 IDG Communications, Inc.

Share