Un web où il n’y aurait plus jamais besoin de renseigner un CAPTCHA ? C’est ce qu’imagine Apple avec un nouveau mécanisme pour iOS 16 et macOS Ventura : le Privacy Access Token.

Ce n’est pas l’une des fonctionnalités d’iOS 16 mises en avant par Apple lors de la conférence WWDC 2022 en juin, mais c’est une option qui rendra la navigation sur le net beaucoup plus agréable pour beaucoup de propriétaires d’iPhone. Apple veut en finir avec les CAPTCHA que l’on trouve sur de nombreux sites.

Le CAPTCHA est un test qui sert à reconnaître l’humanité d’un internaute, avec un exercice que des robots ne sont pas supposés réussir. Il peut s’agir d’un mot déformé dans une image qu’il faut réécrire dans un champ de saisie ou bien d’une mosaïque d’images dans laquelle il est demandé d’identifier un élément précis (un vélo, par exemple). De temps en temps, c’est un calcul de maths.

captcha robot
Les CAPTCHA visaient à écarter les robots, avec des tests. Mais avec les progrès de l’informatique, il a fallu muscler ces tests, et ils sont devenus paradoxalement plus difficiles à résoudre pour les humains. // Source : Gwydion M Williams

Mais c’est sans compter les progrès rapides de l’informatique, avec des systèmes qui sont de plus en plus efficaces dans la reconnaissance optique de caractères, pour identifier les mots déformés, ou dans l’analyse du contenu d’une image. Certes, les CAPTCHA ont été renforcés au fil du temps, parfois au point d’être difficilement compréhensibles pour… les humains.

Des jetons pour valider automatiquement la connexion

C’est là que la nouvelle version d’iOS entre en scène. Apple mise sur un mécanisme qui s’appelle Private Access Token, soit en français « jeton d’accès privé ». Utilisé par un service tiers, il est censé permettre d’identifier les requêtes de connexion provenant d’appareils et de personnes légitimes, sans compromettre leur identité ou leurs données personnelles.

Le principe du Private Access Token est de vous éviter de taper un CAPTCHA à l’avenir, en tout cas pour les tiers qui accepteront de s’en servir — on sait déjà que de grandes entreprises qui fournissent des services à de nombreux sites web, comme Cloudflare et Fastly, entendent inclure ces jetons d’accès privés à travers leurs réseaux.

Fastly et Cloudflare sont deux entreprises américaines qui commercialisent des solutions pour les sites, dont la mise en cache de contenus pour faciliter leur diffusion et leur disponibilité sur le web. Ces sociétés CDN (Content Delivery Network ou réseaux de diffusion de contenu) sont des rouages critiques — quand ils déraillent, on a l’impression que le web est tombé.

iOS-16-widgets-3
Ces jetons seront proposés avec iOS 16, mais aussi macOS Ventura. // Source : Capture d’écran Numerama

Il s’agit aussi de résoudre un risque pour la vie privée. « Afin de déterminer si un client est digne de confiance et peut obtenir un CAPTCHA plus facile, les serveurs ont souvent recours au suivi ou à l’empreinte digitale des clients en utilisant leur adresse IP. Ce type de suivi va à l’encontre de la direction prise par [Apple] en matière de confidentialité sur Internet », juge la firme américaine.

Également prévu pour fonctionner avec macOS Ventura, le Private Access Token vise à utiliser des signaux provenant de l’appareil et de l’identifiant Apple (Apple ID) — ce qui implique qu’il faut être identifié. « Cet Apple ID est uniquement utilisé pour l’attestation et n’est pas partagé avec les serveurs qui reçoivent les jetons », a précisé Apple dans la présentation de son outil.

« Cet Apple ID est uniquement utilisé pour l’attestation et n’est pas partagé avec les serveurs qui reçoivent les jetons »

Tommy Pauly, Apple

Si toutes les cases requises sont cochées, alors ces jetons d’accès privés permettent aux serveurs de faire automatiquement confiance aux internautes qui se connectent, sans avoir besoin de leur soumettre un CAPTCHA. Tout se déroulera en coulisses pour l’internaute et en un clin d’œil. La navigation devient alors beaucoup plus agréable, en levant une friction aux allures d’obstacle.

De facto, ce sont donc des dizaines, des centaines de milliers d’applications et de sites qui seront immédiatement compatibles avec le Private Access Token, observe MacRumors. D’autres plateformes CDN pourraient suivre à court et moyen terme. Dans les versions en bêta d’iOS 16 et de macOS Ventura, cette vérification automatique est activée par défaut.

Rendre la navigation plus conviviale en levant un effort demandé aux internautes est un objectif qu’Apple n’est pas le seul à avoir. Dans un autre genre, Google a mis au point un reCAPTCHA il y a plusieurs années. Il s’agit de simplifier grandement le test en demandant simplement à l’internaute de cocher une case, tout en écartant les bots. Mais Apple va ici encore plus loin.