La société de cybersécurité à l’origine du célèbre service de messagerie chiffrée et de VPN Proton vient de dévoiler son propre service CAPTCHA sécurisé.
Proton CAPTCHA résout les problèmes des systèmes existants que les fournisseurs de sites Web utilisent pour distinguer les tentatives de connexion authentiques des robots malveillants. L’outil prétend ne jamais compromettre la confidentialité, la sécurité et l’accessibilité, tout en se décrivant comme « le premier CAPTCHA au monde » avec des technologies intégrées résistantes à la censure.
Abréviation de « Completely Automated Public Turing test to tell Computers and Humans Apart », il existe de nombreux systèmes CAPTCHA que les sites Web utilisent pour protéger les utilisateurs contre les attaques de robots et de spams. Cependant, Proton n’était pas satisfait des solutions existantes, car il estimait qu’elles ne correspondaient pas aux valeurs de son entreprise.
Résoudre les problèmes liés aux CAPTCHA
« Les Captchas sont un outil incroyablement important pour protéger les utilisateurs contre des attaques de plus en plus sophistiquées. Cependant, la plupart des CAPTCHA ne respectent pas la vie privée et peuvent divulguer les informations sensibles des utilisateurs aux géants de l’Internet », nous a expliqué Eamonn Maguire, responsable de la sécurité des comptes chez Proton.
Il explique que pour fonctionner, de nombreux CAPTCHA conservent un enregistrement permanent des identifiants uniques du téléphone ou de l’ordinateur des utilisateurs. Cela leur permet de suivre leurs activités sur le Web et de collecter davantage de données susceptibles d’être utilisées pour former l’entreprise ou un système d’IA tiers. ChatGPT et les applications analogues rendent également obsolètes les CAPTCHA courants, car le logiciel peut facilement déchiffrer les énigmes.
Pour cette raison, et afin de promouvoir une meilleure convivialité, des géants de la technologie comme Apple et Cloudflare abandonnent le puzzle CAPTCHA classique au profit de mécanismes alternatifs, tels que les performances de l’appareil et les données télémétriques. Pourtant, pour Proton, il ne s’agissait encore que d’une solution de fortune.
« C’est pourquoi nous avons développé Proton CAPTCHA, un nouveau système capable d’équilibrer habilement la sécurité avec la convivialité, l’accessibilité et la confidentialité, et qui peut évoluer en même temps que les tactiques changeantes des acteurs malveillants », a déclaré Maguire.
Une approche de défense multicouche
Proton CAPTCHA adopte une approche de défense multicouche, combinant une preuve de travail informatique avec des défis visuels pour déterminer si la tentative de connexion provient d’un véritable humain. À l’heure où j’écris ces lignes, le CAPTCHA comprend un défi d’alignement de faisceaux et un puzzle intuitif en 2 D. Le système propose également des alternatives accessibles aux utilisateurs souffrant de déficiences visuelles.
La preuve de travail de Proton diffère également des autres CAPTCHA offrant quelque chose d’analogue, car le système adapte la difficulté de la tâche s’il enregistre des comportements suspects. Concrètement, même si un robot parvient à contourner la preuve de travail initiale, il sera confronté à des calculs de plus en plus complexes après s’être débattu avec les défis visuels.
La suite de sécurité de Proton ne cesse de s’enrichir au fur et à mesure que de nouvelles cybermenaces apparaissent. Elle comprend désormais son VPN (ProtonVPN), ProtonMail, Proton Drive, Proton Calendar et Proton Pass.
