Comment contourner automatiquement les CAPTCHA pour les applications et les sites Web sur votre iPhone, iPad ou Mac

Si vous détestez faire correspondre des images ou taper des lettres pour la vérification CAPTCHA humaine, vous adorerez les dernières mises à jour logicielles d’Apple pour iOS, iPadOS et macOS.

En règle générale, les CAPTCHA peuvent devenir un énorme cauchemar sur les appareils mobiles. Ils sont utilisés par les sites Web à des fins de sécurité, pour détecter les robots, empêcher les attaques actives par déni de service et protéger leurs serveurs, mais ils finissent par ennuyer leurs utilisateurs.

• Cela ralentit l’utilisateur en ajoutant une autre étape pour se connecter ou terminer une tâche. Cloudflare estime qu’il faut en moyenne 32 secondes à un utilisateur pour effectuer un test CAPTCHA.
• Vous pouvez vous retrouver avec de mauvaises images qui rendent difficile la correspondance des bateaux, des feux de circulation, des vélos ou de toute autre chose.
• Les mots peuvent être mélangés de telle manière qu’il est impossible de choisir la bonne lettre.
• Le rendu des données requises pour le fonctionnement consomme une bande passante excessive.
• Cela ne fonctionne pas bien avec les utilisateurs qui ont des problèmes d’accessibilité.
• Il peut suivre votre adresse IP et d’autres données personnelles.

Avec les nouvelles mises à jour iOS 16, iPadOS 16 et macOS 13 Ventura, Apple a mis en place une nouvelle fonctionnalité de sécurité qui vous permet de contourner la vérification CAPTCHA. Pour ce faire, il utilise iCloud et des jetons d’accès privés (PAT) pour s’assurer que votre appareil effectue des requêtes HTTP. En prime, il ne révélera pas votre identité ni ne partagera de données personnelles telles que les adresses IP.

CAPTCHA dans iOS 15 (à gauche) et jetons de confidentialité dans iOS 16 (à droite). Image via Apple

Pour implémenter PAT sur un site Web ou une application, ses serveurs doivent avoir le nom d’hôte et la clé publique d’un émetteur de jetons de confiance, qui peut être un réseau de diffusion de contenu (CDN) tel que Cloudflare ou Fastly, un fournisseur d’hébergement Web ou un fournisseur CAPTCHA. Fastly note que les propriétaires de sites doivent activer PAT, mais pour les clients Cloudflare, cela se produit automatiquement.

Ces informations sont ensuite envoyées aux utilisateurs sous la forme d’un appel « PrivateToken ». Ce nouveau schéma d’authentification HTTP utilise des signatures aveugles RSA pour confirmer de manière cryptographique au serveur que votre appareil passe la vérification d’attestation.

Ces signatures sont « unlinkable », ce qui signifie que les serveurs recevant des jetons peuvent uniquement vérifier leur validité, mais ne peuvent pas découvrir les identités des clients ou reconnaître les clients au fil du temps.

Les jetons d’accès privés ne sont pas réservés aux appareils Apple, car ils font partie d’ une norme d’authentification plus large appelée Privacy Pass , qui est en cours de développement par l’Internet Engineering Task Force (IETF), qui comprend Apple et Google. Actuellement, Cloudflare et Fastly sont les seuls CDN avec lesquels Apple a travaillé, mais il travaille avec d’autres sociétés pour le généraliser sur le Web.

Les logiciels iOS 16, iPadOS 16 et macOS 13 d’Apple sont actuellement en version bêta, mais vous pouvez rejoindre la version bêta si vous souhaitez tester cette nouvelle fonctionnalité, ainsi qu’un certain nombre d’autres nouvelles fonctionnalités. Vous pouvez rencontrer des bogues, une diminution de la durée de vie de la batterie et d’autres problèmes lors de l’exécution de la version bêta, mais vous pouvez toujours rétrograder si nécessaire.

Cette fonctionnalité est activée par défaut, mais vous pouvez vérifier si elle est activée. Sur iOS et iPadOS 16, accédez à Paramètres -> [votre nom] -> Mot de passe et sécurité -> Vérification automatique. Sur macOS 13, accédez à Paramètres -> Identifiant Apple -> Mot de passe et sécurité -> Vérification automatique.