Comment contourner automatiquement les CAPTCHA d’applications et de sites Web gênants sur votre iPhone pour une vérification instantanée

Si vous détestez faire correspondre des images, taper des lettres et des chiffres, résoudre des problèmes mathématiques et séparer des pièces de puzzle pour une vérification humaine avec CAPTCHA, vous adorerez la dernière fonctionnalité de confidentialité d’Apple pour les applications et les sites Web.

En règle générale, les CAPTCHA peuvent devenir un énorme cauchemar sur les appareils mobiles. Ils sont utilisés par les sites Web à des fins de sécurité, pour détecter les robots, empêcher les attaques actives par déni de service et protéger leurs serveurs, mais ils finissent par ennuyer leurs utilisateurs.

• Cela ralentit l’utilisateur en ajoutant une autre étape pour se connecter ou terminer une tâche. Cloudflare estime qu’il faut en moyenne 32 secondes à un utilisateur pour effectuer un test CAPTCHA.
• Vous pouvez vous retrouver avec de mauvaises images qui rendent difficile la correspondance des bateaux, des feux de circulation, des vélos ou de toute autre chose.
• Les mots peuvent être mélangés de telle manière qu’il est impossible de choisir la bonne lettre.
• Cela ne fonctionne pas bien avec les utilisateurs qui ont des problèmes d’accessibilité.
• Les personnes daltoniennes peuvent ne pas voir certaines couleurs de texte.
• Le rendu des données requises pour le fonctionnement consomme une bande passante excessive.
• Il peut suivre votre adresse IP et d’autres données personnelles.

Dans la nouvelle mise à jour iOS 16, Apple a implémenté une nouvelle fonctionnalité de sécurité qui contourne la vérification CAPTCHA. Cela se fait à l’aide d’iCloud et de jetons d’accès privés (PAT), qui confirment que votre appareil envoie des requêtes HTTP. En prime, il ne révélera pas votre identité ni ne partagera de données personnelles telles que les adresses IP.

Pour implémenter PAT sur un site Web ou une application, ses serveurs doivent avoir le nom d’hôte et la clé publique d’un émetteur de jetons de confiance, qui peut être un réseau de diffusion de contenu (CDN) tel que Cloudflare ou Fastly, un fournisseur d’hébergement Web ou un fournisseur CAPTCHA. Fastly note que les propriétaires de sites doivent activer PAT, mais pour les clients Cloudflare, cela se produit automatiquement.

Ces informations sont ensuite envoyées aux utilisateurs sous la forme d’un appel « PrivateToken ». Ce nouveau schéma d’authentification HTTP utilise des signatures aveugles RSA pour confirmer de manière cryptographique au serveur que votre appareil passe la vérification d’attestation.

Ces signatures sont « unlinkable », ce qui signifie que les serveurs recevant des jetons peuvent uniquement vérifier leur validité, mais ne peuvent pas découvrir les identités des clients ou reconnaître les clients au fil du temps.

Les jetons d’accès privés ne sont pas réservés aux appareils Apple, car ils font partie d’ une norme d’authentification plus large appelée Privacy Pass , qui est en cours de développement par l’Internet Engineering Task Force (IETF), qui comprend Apple et Google. Actuellement, Cloudflare et Fastly sont les seuls CDN avec lesquels Apple a travaillé, mais il travaille avec d’autres sociétés pour le généraliser sur le Web.

Cette fonctionnalité est activée par défaut, mais vous pouvez vérifier qu’elle est activée en visitant Paramètres -> [votre nom] -> Mot de passe et sécurité -> Vérification automatique. Ce changement apparaît également dans iPadOS 16 pour iPad et macOS 13 Ventura pour Mac, qui sont toujours en version bêta. Le chemin de configuration est le même pour iOS et iPadOS, mais vous devez accéder à Paramètres -> Identifiant Apple -> Mot de passe et sécurité -> Vérification automatique dans macOS 13.