Qui connaît Turnstile?
Qui a étudié?
Est-ce vraiment respectueux de la vie privée de l’utilisateur?
Venant de cloudfare, ça interroge, mais si ça pouvait être vrai, on attend tous un captcha fonctionnel, le moins intrusif possible et qui ne nous traque pas.
J’ai découvert en lisant Cloudflare Unveils Free Privacy-Friendly Replacement to the Annoying CAPTCHA System
Ça fonctionne en mesurant tout un tas de truc sur ton navigateur (tel User Agent, telle feature, telle IP, etc.), et je ne serais pas surpris non plus que ça fingerprint des trucs plus low-level (fingerprint TCP, HTTP, etc.).
Ça envoie tout ça à un serveur qui décide si ces informations sont cohérentes (par exemple si tu me dis que tu es Windows et que je fingerprint ta stack TCP en Linux, je vais te bloquer).
Dans le blog post de Cloudflare, ils disent que ça bloque les utilsateurs « privacy-focused »:
Second, we find that a few privacy-focused users often ask their browsers to go beyond standard practices to preserve their anonymity. […] Issues caused by this behavior can now be displayed clearly in a Turnstile widget, so those users can immediately understand the issue and make a conscientious choice about whether they want to allow their browser to pass a challenge.
En gros il est très probable que ton Tor Browser ne passera jamais un CAPTCHA Cloudflare.
Dernier point, Cloudflare Turnstile utilise déjà, quand il le peut, le système d’attestation d’Apple, le Apple Private Access Token. Google veut intégrer la même chose dans Chrome, et idéalement dans la norme W3C sous le nom de Web Environment Integrity (WEI) - (voir le ticket). L’Electronic Frontier Foundation s’est positionnée contre le WEI, tout comme le navigateur Vivaldi, le navigateur Brave, la FSF, le W3C, et d’autres gens 1, 2, 3. On appelle tout ça des mécanismes d’attestation, chez Android il s’appelle SafetyNet/Play Integrity, c’est très à la mode en ce moment chez les industriels, @Vincent pourrait t’en parler.
Donc perso ce que je ressors de ça c’est que (1) ils essaient de mesurer/fingerprinter ton navigateur, et si il sort de la norme qu’ils ont établis, il ne passe pas le test, et (2) pour t’assurer de passer le test, ils vont probablement promouvoir les services d’attestation de devices, qui se situent au niveau de ton OS, et qui vont soit utiliser un module matériel (TPM & co) pour valider que ton OS est signé par un fabricant, soit faire des mesures non plus uniquement dans la sandbox de ton browser, mais à l’échelle de tout ton OS (comme SafetyNet de Android) pour valider que ton OS est « dans leur norme ».
Je les crois volontiers quand ils disent qu’ils n’utilisent pas les données collectées à des fins publicitaires. Par contre j’trouve ça un peu chaud qu’une entreprise décide arbitrairement si ton ordinateur a le droit d’accéder à des sites webs selon des critères opaques, critères dont on prouvera rapidement qu’ils favorisent les OS et logiciels fermés et verrouillés des grandes entreprises (Microsoft, Google, Apple) et encourageront le renouvellement des terminaux. Je le vois comme une forme de confiscation du web.
Ah ben c’est sûr vendu comme ça, ça donne tout de suite beaucoup moins envie.
Merci @quentin d’avoir pris le temps de nous apporter ces éclaircissements.
Pour info, avec paquerette on a installé un mosparo. Il n’est pas encore utilisé mais on migre notre site internet en static avec ce captcha. Il se base sur des infos du client et des heuristiques qu’on peut créer. Malheureusement, il n’en a aucune par defaut. Si vous êtes intéressé pour participer à la création d’un set de règles, on peut vous créer un compte pour que vous le testiez.