La fonction d’iOS 16 de contournement des CAPTCHA, ces codes à taper manuellement sur les sites Web, pourrait bientôt fonctionner avant davantage de sites Internet grâce à Cloudflare.

Cela fait maintenant plusieurs semaines qu’Apple a déployé iOS 16 sur les iPhone compatibles. Cette nouvelle mise à jour a apporté de nombreuses fonctionnalités en tout genre, mais surtout la possibilité pour les internautes de contourner les CAPTCHA pour gagner quelques secondes sur certaines applications ou sites Internet.

Pour cela, Apple s'est essentiellement associé aux deux principaux réseaux de diffusion de contenu que la plupart des sites Web modernes utilisent pour vérifier si l'utilisateur est humain ou non, Fastly et Cloudflare. Lorsque vous arrivez sur un site Web compatible qui vous demanderait normalement de remplir un CAPTCHA pour vérifier si vous êtes humain, votre iPhone pourra répondre à votre place avec ce qu’Apple appelle des jetons d’accès privés. Ces derniers prouveront que vous êtes dignes de confiance, et vous n’aurez donc plus à saisir un texte indéchiffrable ou sélectionner des images pour montrer que vous êtes humain.

Le contournement des CAPTCHA pourrait bientôt fonctionner sur plus de sites Internet

Cloudflare vient d'annoncer l’arrivée d’une API gratuite « Turnstile » pour les entreprises afin que leurs sites Web et leurs applications puissent éliminer les CAPTCHA sur les appareils qui disposent de fonctionnalités intégrées comme la vérification automatique d'iOS 16.

Turnstile utilisera le système Managed Challenge de Cloudflare, qui s'appuie sur le comportement des utilisateurs, les données du navigateur et, sur les appareils Apple, les jetons d'accès privés, pour distinguer les visiteurs humains des robots et des scripts. Cloudflare affirme que son système Managed Challenge a permis de réduire de 91 % les CAPTCHA affichés aux visiteurs de ses clients en un an.

Le système effectue donc automatiquement l'un des nombreux « défis de navigateur non intrusifs basés sur la télémétrie et le comportement du client au cours d'une session ». Ce dernier se déroule en arrière-plan pendant que l'utilisateur voit une animation de vérification sur la page Internet. Contrairement à reCAPTCHA, une solution similaire de Google qui implique de partager ses données avec l’entreprise, Turnstile utilise des données auxquelles il a accès grâce à des collaborations avec des fabricants d'appareils pour effectuer la validation. Cloudflare peut donc « confirmer les données sans les collecter, les toucher ou les stocker ».