Google casse reCAPTCHA pour les utilisateurs d’Android dégooglisés

 (reclaimthenet.org)
2 points par GN⁺ 4 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Google a lié la nouvelle génération de reCAPTCHA pour Android à Google Play Services, ce qui fait échouer automatiquement les utilisateurs d’Android dégooglisés lors des étapes de vérification supplémentaires
  • Pour prouver qu’un utilisateur Android est humain, il faut exécuter le framework d’applications propriétaire de Google, Google Play Services 25.41.30 ou version ultérieure
  • En cas d’activité jugée suspecte, le système demande un scan de code QR au lieu du puzzle d’images habituel, et ce processus ne peut aboutir que si Play Services communique avec les serveurs de Google
  • Les appareils sous iOS 16.4 ou version ultérieure passent la même vérification sans logiciel Google supplémentaire, mais seuls les utilisateurs Android qui refusent Play Services se retrouvent bloqués, créant une asymétrie
  • Comme reCAPTCHA se trouve en amont de millions de sites web, ce changement crée un précédent où l’accès web de base exige l’exécution de logiciels Google et l’envoi de données vers les serveurs de Google

Un mode de vérification lié à Google Play Services

  • Sur Android, le processus permettant de prouver qu’un utilisateur est humain dépend du framework d’applications propriétaire de Google, Google Play Services 25.41.30 ou version ultérieure
  • Si reCAPTCHA détecte une activité suspecte, il demande un scan de code QR au lieu du puzzle d’images habituel
  • Comme le scan QR nécessite que Play Services, exécuté en arrière-plan, communique avec les serveurs de Google, la vérification échoue sur GrapheneOS et d’autres ROM personnalisées ayant supprimé les logiciels Google
  • Les utilisateurs de de-Googled phone échouent automatiquement lorsque le système demande une vérification supplémentaire

Google Cloud Fraud Defense et le contexte du déploiement

  • Le 23 avril, Google a présenté à Cloud Next un système plus large, Google Cloud Fraud Defense
  • Ce système a été présenté comme une plateforme de confiance destinée à traiter à la fois les agents IA autonomes et les bots existants
  • Le fait que le processus de vérification humaine sur Android soit lié à l’exécution d’un logiciel propriétaire de Google n’a pas été mis en avant dans l’annonce
  • Ce changement n’est pas apparu soudainement : un instantané d’Internet Archive daté d’octobre 2025 de la même page d’assistance affichait déjà l’exigence de Play Services 25.39.30
  • Des utilisateurs du subreddit degoogle sur Reddit l’ont confirmé, et le sujet a été davantage relayé par PiunikaWeb et Android Authority

Les différences entre iOS et Android

  • Les appareils Apple sous iOS 16.4 ou version ultérieure effectuent la même vérification sans installation d’application supplémentaire
  • Google n’exige pas des utilisateurs d’iPhone qu’ils installent un logiciel Google pour réussir reCAPTCHA
  • Seuls les utilisateurs Android qui refusent Play Services se retrouvent bloqués, créant une structure asymétrique
  • Cette différence semble relever davantage du contrôle de l’écosystème que de la sécurité

Accessibilité du web et transfert de données

  • reCAPTCHA se trouve en amont de millions de sites web
  • En liant la vérification à Play Services, Google crée un précédent où l’accès à des contenus web basiques nécessite l’exécution de logiciels Google et l’envoi de données vers les serveurs de Google
  • Les utilisateurs de téléphones dégooglisés choisissent cette configuration précisément parce qu’ils ont examiné les pratiques de Play Services en matière de données et n’y consentent pas
  • Le nouveau système traite par défaut comme suspecte l’absence de logiciel propriétaire de Google, pénalisant ainsi ce choix

Une exclusion que les développeurs web devront choisir

  • Les sites web qui adoptent ce reCAPTCHA envoient le signal que les utilisateurs d’Android dégooglisés n’y sont pas les bienvenus
  • Ce public reste limité aujourd’hui, mais il est aussi le plus sensible à la manière dont les sites gèrent les données
  • Il est peu probable que ce public cède facilement à l’exigence de Google Play Services

À lire aussi

1 commentaires

 
GN⁺ 4 시간 전
Réactions sur Hacker News

  • Ce nouveau reCAPTCHA se comprend essentiellement comme une attestation distante (remote attestation)
    L’attestation distante n’utilise pas de signatures aveugles, car elles pourraient alors être réutilisées à grande échelle. Si les serveurs de Google collaboraient, ils pourraient donc techniquement relier l’appareil et le sujet de l’attestation : EK (clé privée fixe gravée dans le matériel) → AIK (clé d’identité temporaire de la zone sécurisée, signée par les serveurs de Google) → attestation (signée par l’AIK)
    Si les serveurs de Google consignent la conversion EK → AIK, il devient facile de remonter d’une attestation donnée jusqu’à l’EK de l’appareil. C’est pour cela qu’il existe très peu de services en ligne fournissant de fausses attestations distantes, et qu’il y en aura sans doute peu à l’avenir. L’étape suivante, pour exploiter un tel service, serait que Google devienne client et inscrive tous les appareils sur liste noire
    À moins que ce nouveau reCAPTCHA ne prévoie des mesures particulières, il ne s’agit pas seulement de verrouiller les services Internet derrière une puce TPM, mais aussi de confier son anonymat à Google. À moins d’obtenir un appareil temporaire intraçable pour chaque service, cette méthode permet de relier entre eux tous les comptes d’un même utilisateur sur plusieurs services. C’est un peu comme une vérification d’âge : même s’il semble qu’un service doive coopérer pour relier une session reCAPTCHA à une inscription, l’ensemble anonyme risque déjà de s’effondrer presque entièrement rien qu’avec l’heure d’inscription

    • Si vous gérez un site web, il semble aussi facile d’héberger le même code sur votre propre site pour transmettre la demande d’attestation à quelqu’un d’autre, et faire bloquer par Google son appareil au lieu du vôtre
    • S’il existe vraiment des entreprises comme celle-ci, je ne vois pas l’intérêt de s’appuyer sur des TPM. L’avenir des bots financés par le capital-risque semble radieux
      https://doublespeed.ai/
    • La tâche « interpréter ce QR code » ne doit probablement même pas figurer dans le top 500 000 des tâches « qu’un humain sait mieux faire qu’un ordinateur »
    • Dans la documentation reCAPTCHA, je ne vois nulle part qu’il soit obligatoire de prendre en charge une attestation matérielle ; Play Services semble suffire
      Google fera probablement l’attestation à distance, en s’appuyant sur une application comme Play Services, qui dispose d’un accès énorme au téléphone et peut relier quantité de données entre elles. Cela peut servir de prétexte pour mieux juger de « l’humanité » d’un utilisateur, y compris à partir de l’activité locale du téléphone
      Pour les gens qui utilisent déjà un compte Google, la différence n’est peut-être pas énorme du point de vue des données collectées
      Avec une telle approche, la falsification resterait théoriquement possible, mais du point de vue de Google il serait facile de détecter des attestations partagées entre plusieurs personnes
      À l’origine, il ne s’agit que d’une mise à jour d’un système très approximatif, donc une sécurité absolue n’est pas encore nécessaire, mais le contournement risque de devenir extrêmement difficile
    • Si Google n’a pas demandé aux utilisateurs d’iPhone d’installer un logiciel Google pour passer le test, un téléphone Android dégooglisé pourrait-il se faire passer pour un iPhone ?

  • Je n’utilise plus Android actuellement, et je n’ai pratiquement plus utilisé d’Android avec Google depuis presque dix ans, et je ne compte pas recommencer. Si c’est la ligne à ne pas franchir, alors ce sera ainsi
    Je n’utiliserai pas d’attestation matérielle, qu’elle soit contrôlée par Google ou non. Même si j’avais un téléphone Android certifié Google non rooté, je pense qu’il ne faudrait pas l’utiliser

    • Quand une app fintech cesse de fonctionner et vous empêche de recevoir de l’argent, ce n’est plus un problème amusant. Il faut donc une régulation
      Cela dit, on voit mal des responsables politiques s’attaquer à une régie publicitaire. Ce sont leurs clients

  • J’avais gardé un vieil Android d’entrée de gamme en secours, puis je suis récemment passé à GrapheneOS. Je ne garde qu’un seul profil Google, uniquement pour Uber, Google Chat du travail et les cartes
    Une banque refusait de fonctionner même avec les services Google présents, donc j’ai changé de banque. J’ai déplacé l’essentiel de mon usage mobile vers des services auto-hébergés, en configurant freshrss full text, le gestionnaire de mots de passe, l’agenda, la gestion des tâches, etc., de façon à ne pas les exposer directement à Internet
    C’est un peu pénible, mais je suis content d’avoir commencé ce parcours. On dirait que je vais finir par éviter Internet lui-même de plus en plus

    • Quelle est la meilleure alternative à Google Drive ? J’ai aussi pris cette voie, mais Samba est parfois un peu pénible

  • archive.is m’a demandé de scanner un QR code, et cette pratique derrière Cloudflare est tellement honteuse. Ils vont imposer du KYC aux visiteurs de sites web ? Ils sont sérieux ?
    Si on pousse dans cette direction, le web est fichu. Des millions de sites vont soudain imposer du KYC ?
    https://ibb.co/X9Q6Y84
    Si je parle de KYC, c’est parce qu’il existe très peu de moyens non criminels d’obtenir une SIM sans KYC et de créer un compte Google pour le Play Store sans numéro de téléphone. Chaque visite de site web se retrouve alors liée à une identité réelle
    Comme je n’utilise pas Android stock, je n’ai déjà plus réellement accès à beaucoup de sites web. C’est complètement absurde

    • Le texte dit : « reCAPTCHA ne partage pas vos informations détaillées avec ce site », mais il ne dit pas qu’il ne les partage pas avec Google. Donc cela signifie qu’il les partage ?
    • C’est vraiment mauvais :-(
      Surtout sur un site comme archive.is, on dirait qu’il va devenir bien plus difficile de naviguer sur Internet sans téléphone
      Je ne sais pas à quel point c’est lié à la discussion, mais si cela peut aider, j’ai créé un projet qui permet d’archiver des pages archive.is sur archive.org/Wayback Machine. Il utilise singlefile
      La communauté pourrait peut-être utiliser ce genre de chose à grande échelle. J’espère qu’archive.is corrigera ce problème d’exigence de QR code et que cela ne deviendra pas permanent
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • Je ne comprends pas pourquoi ils n’ont pas adopté les Private Access Tokens. Ce n’est pas parfait non plus, mais au moins ils auraient pu l’emballer ainsi : faire semblant que le but n’est pas d’empiéter sur la vie privée des gens, ressortir l’excuse traditionnelle du « Apple le fait aussi », prétendre viser les standards, et présenter cela comme une fonction totalement transparente pour l’utilisateur final
    Ils auraient probablement obtenu une forme d’attestation d’appareil avec beaucoup moins de rejet. Mais ça ne semble pas être leur véritable objectif

    • Fondamentalement, cela ne résout rien. Le but est d’identifier une personne donnée, ou au moins un appareil relativement coûteux, pour qu’une fois bloqué il le reste durablement
    • Un cas de syndrome Not Invented Here ?

  • On a dépassé le point où l’État devrait intervenir et interdire sévèrement ou sanctionner Google. C’est un comportement monopolistique

    • Le caractère monopolistique apparaît déjà dans le fait que, sur le site de documentation, la moitié des vidéos expliquent comment relier cette fonctionnalité à Google Analytics
      C’est une manière de renforcer leur monopole sur la recherche et la publicité à l’aide d’un autre produit
      Il devient impossible de scraper du contenu pour fabriquer un meilleur Google ou Gemini, impossible de construire un système d’exploitation concurrent de Google ou Apple, et impossible aussi de créer un concurrent à Google Analytics
      C’est clairement anticoncurrentiel
    • C’est justement le genre de chose dont les gouvernements ont le plus besoin. Ils veulent savoir qui sont les dissidents potentiels ou actuels
    • Il semble y avoir ici une base claire pour enquêter sur un couplage illégal ou un abus de position dominante. Si la FTC regarde aussi cela, j’espère qu’elle écoute
    • Pire encore, les gouvernements utilisent déjà ce genre de chose sur les sites en .gov et nous l’imposent

  • Est-ce que quelqu’un sait ce qui a changé dans iOS 16.5 pour que Google cesse d’exiger l’installation d’une app ? À première vue, cela semble lié à l’attestation distante d’Apple, les Private Access Tokens
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • C’est le classique retrait de l’échelle : empêcher les agents IA concurrents tout en s’assurant un accès pour les siens
    Le marché des agents autonomes qui fournissent des services et exécutent des tâches en ligne va devenir énorme, donc il leur faut un levier de négociation pour éviter que leurs propres bots soient bloqués sur les actifs protégés par Amazon, Cloudflare, Microsoft, etc.

  • J’ai récemment aidé un membre de ma famille, très confus, à supprimer deux comptes Google Cloud dont il ignorait même l’existence. Il ne les a découverts qu’en recevant un e-mail indiquant que reCAPTCHA allait être intégré à d’autres produits Google
    Je n’ai absolument aucune idée de ce qui s’est passé. Ma meilleure hypothèse, pour l’instant, est qu’il a résolu un CAPTCHA en étant connecté à son compte Google dans le même navigateur, puis a cliqué sur un très mauvais bouton par erreur. C’est surréaliste

    • Ce ne serait pas AI Studio Playground ? On dirait que tout est intégré

  • Pour être juste, il existe déjà des applis qui exigent un téléphone à l’inscription. VK et Telegram, par exemple
    Google semble aussi exiger le scan d’un QR code pour enregistrer un compte, donc si l’objectif est quelconque, il peut être plus simple d’acheter des comptes Google au marché noir
    De nos jours, plus personne ne fait confiance au navigateur web