INTERVIEW L’hégémonie des CAPTCHA, le moyen fiable et exaspérant par lequel les sites Web distinguent les utilisateurs humains des bots, est – heureusement – en péril.

John Graham Cummingdirecteur de la technologie (CTO) chez Cloudflare, spécialiste de la sécurité et des performances Web, explique qu’une technologie alternative développée par Cloudflare, Apple, Google et d’autres élimine les frictions et les atteintes à la vie privée liées aux clics sur des carrés contenant des vélos, des camionnettes ou des feux de circulation.

Incidemment, les CAPTCHA – ou « Tests de Turing publics entièrement automatisés pour distinguer les ordinateurs des humains » – font référence au légendaire informaticien Alan Turing, qui a reçu des excuses posthumes du gouvernement britannique en 2009 à la suite d’une campagne en ligne par Graham-Cumming.

Graham Cumming, le Fichier POP architecte qui partage avec son compatriote britannique Turing une acuité mathématique remarquable, parle également de HTTP/3, de l’architecture « zéro confiance », du paysage du déni de service distribué (DDoS) et de nouvelles façons de générer des nombres cryptographiques aléatoires.

Swig quotidien : Cloudflare le mois dernier jetons d’accès privés annoncés, une technologie qui s’appuie sur « l’attestation privée » pour offrir une alternative aux CAPTCHA. Qu’est-ce qui a motivé la décision de se concentrer sur ce domaine de l’authentification ?

John Graham Cumming : Quelqu’un aime-t-il les CAPTCHA ? Ils sont la chose la plus frustrante qui soit et sont souvent utilisés sur des sites Web, ils peuvent donc potentiellement être utilisés pour le suivi.

Nous avons réduit notre utilisation des CAPTCHA au fil du temps en les remplaçant par d’autres méthodes.

L’attestation privée démontre que vous venez essentiellement d’un appareil connu. Apple sait qui je suis, pourquoi j’utilise mon appareil, et ils sont capables de dire à un site Web : « C’est un humain légitime, l’appareil n’a pas été piraté ».

Et l’attestation privée utilise un tas de cryptographie intelligente pour prouver que vous êtes légitime sans qu’Apple ne dise qui vous êtes. Nous pensons que cela va supprimer les CAPTCHA d’une manière qui préserve la vie privée des gens.

Dévoilés à la WWDC 2022, les jetons d'accès privés deviendront-ils le tueur de CAPTCHA ?

DS : Cloudflare vient également d’ajouter nouvelles capacités à sa plateforme de réseau en tant que service zéro confiance, Cloudflare One. Quelle est l’importance du passage à l’architecture Zero Trust et est-ce que cela se produit assez rapidement ?

JGC : Les entreprises avaient l’habitude de garder leurs employés, leurs serveurs et leurs applications à l’intérieur de murs fortement gardés. Si vous aviez besoin de voyager, il y avait des VPN.

Mais les murs du château ont été pris d’assaut de l’intérieur lorsque les applications ont commencé à sortir de l’entreprise avec le SaaS, le cloud et les appareils mobiles. Soudain, les murs du château n’avaient plus de sens.

‘Zero trust’ offre une solution beaucoup plus flexible et moins coûteuse [alternative] et Cloudflare est un acteur dans ce domaine depuis longtemps.

Avant la pandémie, nous avons annoncé Cloudflare for Teams, qui permet aux équipes de travailler à distance, et nous avons lancé zerotrustroadmap.org pour aider les entreprises à planifier quelles applications seront à l’extérieur et à l’intérieur du pare-feu, comment vous vous connectez, [and] qui vous connectez [with].

Je pense que les entreprises sont, dans l’ensemble, sur la voie de la confiance zéro. Certains sont plus avancés, d’autres moins avancés. Le gouvernement fédéral américain a parlé de la confiance zéro comme de la bonne architecture.

Cela reflète notre façon de travailler, et Covid n’a fait qu’accélérer cette tendance parce que tout à coup tout le monde était à la maison et avait besoin d’un accès.

Quelle a été l’importance de la récente nouvelle selon laquelle le protocole HTTP/3 a reçu la normalisation RFC 9114 ?

JGC : Environ 25 % du trafic sur Cloudflare utilise déjà HTTP/3, et les principaux navigateurs l’implémentent très rapidement, il est donc clairement adopté très rapidement.

C’est fantastique de voir ce niveau d’innovation car nous dépendons de HTTP pour à peu près tout ce que nous faisons en ligne.

Il y a eu un très long processus de normalisation entre HTTP/1.1 et HTTP/2, donc le fait que HTTP/3 ait pu suivre assez rapidement est un signe que nous continuons vraiment à innover à des niveaux fondamentaux sur Internet.

Quelles tendances importantes observez-vous en matière de défense de vos clients contre les attaques DDoS ?

JGC : Les attaquants ne se contentent plus de s’en prendre à la porte d’entrée et de mettre votre site Web hors ligne. Désormais, les attaquants sont plus professionnels, en particulier dans les DDoS liés aux rançons où ils peuvent s’attaquer à votre DNS, votre serveur de messagerie ou vos serveurs VPN.

Deuxièmement, bien qu’il y ait encore de très grandes attaques au niveau du réseau, il y a eu une augmentation au niveau des applications. Et je pense que c’est en partie parce que nous sommes très bons pour nous défendre contre les attaques au niveau du réseau.

Nous avons également constaté une utilisation accrue des fournisseurs de cloud comme source d’attaques. Je pense que c’est en partie pour augmenter le nombre de requêtes par seconde, parce que vous obtenez plus de puissance de calcul, et parce que tout sur le Web devient HTTPS, alors les attaques s’exécutent également sur HTTPS et c’est plus cher pour l’attaquant.

rererere

Qu’est-ce qui a inspiré l’utilisation par Cloudflare de lampes à lave générer des nombres aléatoires pour le cryptage SSL ?

JGC : ça fait partie [practically useful] et un projet artistique en partie. Vous pouvez générer des nombres aléatoires de toutes sortes de façons en utilisant différents processus physiques. La radioactivité est classique [as ripening bananas can demonstrate] et il y a des choses quantiques intéressantes.

A Londres, nous avons un mur de pendules doubles, car il s’avère qu’un pendule attaché à un pendule se déplace de manière très imprévisible.

Nous voulions souligner que le hasard est fondamental pour assurer la sécurité en ligne, mais les ordinateurs ne sont pas fantastiques pour créer des nombres aléatoires. Vous, moi et tout le monde on nous a dit maintes et maintes fois de ne pas choisir de mots de passe faciles à deviner – ce qui revient à dire « choisissez des mots de passe aléatoires ».

Cloudflare a considérablement évolué depuis sa fondation en 2009 en tant que plate-forme de protection contre les courriers indésirables. Comment pourrait-il continuer à évoluer dans les mois ou les années à venir ?

JGC : Fondamentalement, Cloudflare rend les choses connectées à Internet plus rapides, plus disponibles, plus sécurisées et plus privées.

Notre feuille de route produit consiste vraiment à apporter ces attributs aux choses connectées à Internet à travers nos services d’application, CDN [content delivery network]DDoS, services réseau et notre plateforme de calcul, Cloudflare Workers.

Nous avons récemment a acquis une société de protection de messagerie appelée Area 1donc le courrier électronique devient un domaine important pour nous.

N’oubliez pas le courrier électronique – c’est vieux, mais c’est toujours important. Quelque chose comme 80 à 90 % des problèmes de sécurité dans les entreprises commencent par le courrier électronique, le phishing et des trucs comme ça.

De quoi êtes-vous le plus fier dans votre carrière et pourquoi ?

JGC : Avoir construit Cloudflare d’une vingtaine de personnes pour avoir un impact réel sur l’utilisation d’Internet par tout le monde en termes de sécurité et de performances est probablement la chose la plus satisfaisante.

Et faire cela avec une culture curieuse, empathique et ouverte est très satisfaisant.

Tout le monde me pose toujours des questions sur l’affaire Alan Turing. Je suis content de l’avoir fait, mais ça fait longtemps maintenant !