Google Cloud Fraud Defense n’est que WEI avec un nouvel emballage

 (privatecaptcha.com)
1 points par GN⁺ 1 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Google Cloud Fraud Defense a été annoncé pour 2026 comme « la prochaine évolution de reCAPTCHA », mais son cœur repose sur la même infrastructure d’attestation d’appareil que Web Environment Integrity, retiré en 2023
  • Le défi QR de Fraud Defense consiste à faire scanner un code par l’utilisateur avec son téléphone, puis à authentifier l’appareil via la Play Integrity API avant de renvoyer le résultat au site d’origine comme preuve de présence humaine
  • Le matériel capable de réussir est limité aux appareils Android récents avec Google Play Services installés ou aux iPhone/iPad récents, ce qui exclut par défaut des options comme GrapheneOS, LineageOS for microG ou Firefox for Android
  • Le défi QR peut être contourné en plaçant une caméra devant l’écran, et des appareils Android compatibles peuvent s’acheter pour environ 30 $, ce qui en fait une barrière peu significative pour des fermes de bots professionnelles
  • À chaque réussite du défi, Google reçoit le signal qu’« un appareil certifié a accédé à un site précis à un moment donné », ce qui peut créer des informations d’attribution traversant les sessions et les navigateurs

Le lien entre Google Cloud Fraud Defense et WEI

  • En mai 2026, Google a présenté Google Cloud Fraud Defense comme « la prochaine évolution de reCAPTCHA » et a introduit un défi où l’utilisateur scanne un QR code avec son téléphone pour prouver une présence humaine
  • En 2023, l’ingénieur Google Yoav Weiss a soumis au projet Chromium la proposition Web Environment Integrity
    • Le navigateur devait faire signer au matériel de l’appareil une preuve cryptographique, afin de démontrer que le navigateur n’avait pas été modifié et qu’il fonctionnait sur un matériel certifié par Google
    • Le site web pouvait vérifier cette signature pour décider s’il fournissait le contenu sans friction ou s’il exigeait un défi supplémentaire
    • La justification avancée était de protéger l’intégrité du web contre les bots et le scraping automatisé
  • Mozilla a publié en quelques jours une position officielle, estimant que la proposition était « contraire aux intérêts des utilisateurs » et qu’elle « crée un Internet à péage contrôlé par les vendeurs d’OS et d’appareils »
  • L’Electronic Frontier Foundation a qualifié cela de « plan DRM de Chrome pour le web » et a estimé que, par conception, seul Chrome exécuté sur Android ou sur du matériel certifié pourrait facilement faire passer l’attestation, orientant ainsi le trafic vers l’écosystème Google
  • Google a retiré WEI trois semaines après sa publication et le fil GitHub de Chromium a été fermé, mais en 2026, la même infrastructure d’attestation d’appareil a été lancée comme base d’un produit commercial avec Fraud Defense

Le mécanisme réel du défi QR

  • Le défi Fraud Defense fonctionne en affichant un QR code sur un site web, que l’utilisateur scanne avec l’appareil photo de son téléphone
  • Le téléphone est ensuite authentifié via la Play Integrity API de Google, qui vérifie qu’il s’agit bien d’un matériel certifié
  • Le résultat de cette vérification est renvoyé au site d’origine et sert de preuve de présence humaine
  • La page des exigences de Fraud Defense précise que le matériel pouvant réussir doit être « un appareil Android récent avec Google Play Services installés ou un iPhone/iPad récent »
  • Google Play Services est une couche logicielle propriétaire de Google exécutée sur des appareils Android certifiés et fournit la Play Integrity API, qui atteste que l’appareil n’a pas été modifié et qu’il est approuvé par Google
  • Un appareil sans Play Services ne peut pas satisfaire au niveau de vérification Play Integrity exigé par Fraud Defense, et cette condition constitue en elle-même le mécanisme central de Fraud Defense
  • Dans le cas de WEI, Google devait défendre publiquement ce mécanisme dans le cadre du processus d’examen des standards et a fait face à une opposition qui a conduit au retrait, tandis que Fraud Defense a été lancé directement comme service commercial accessible aux organisations disposant d’un compte payant Google Cloud

Contournement du QR code et risque de phishing

  • Le défi par QR code peut être contourné mécaniquement par des opérateurs de bots en plaçant une caméra devant l’écran
  • Même pour des opérations nécessitant une attestation Play Integrity, un appareil Android compatible peut être acheté pour environ $30, par exemple le $29.88 Motorola Moto g 2025 chez Walmart
  • Pour des fermes de bots professionnelles achetant des appareils en volume, ce coût ressemble davantage à un coût fixe qui ne perturbe pas réellement les opérations
  • Dans le fil HN, un spécialiste de la réponse à incident s’inquiète du fait qu’il soit irréaliste d’apprendre à « Susan des RH » à distinguer un vrai QR code Google Captcha d’un QR code de phishing malveillant
  • Le défi QR entraîne les utilisateurs à scanner un code pour accéder à un site web, un comportement que des campagnes de phishing peuvent immédiatement exploiter

Différences avec l’authentification QR et l’attestation d’appareil existantes

  • L’App Attestation d’iOS vérifie qu’une application a été installée via l’App Store et qu’elle n’a pas été modifiée
  • Il y a une différence de nature entre gérer des applications dans l’écosystème fermé choisi par un utilisateur d’iPhone et conditionner l’accès à une URL sur le web ouvert à du matériel certifié par une entreprise privée
  • Il n’existe pas de précédent pour une application de ce type à l’Internet ouvert : les app stores sont des écosystèmes optionnels avec des conditions explicites, alors que le web n’a pas été conçu sur l’hypothèse de prérequis matériels
  • L’authentification basée sur QR existe déjà
    • Le Smart ID d’Estonie utilise des QR codes pour vérifier les utilisateurs sur des ressources dont le périmètre et le cadre de consentement sont définis, comme les portails bancaires, les services publics ou les dossiers de santé
    • L’utilisateur choisit de s’authentifier, les ressources protégées sont définies à l’avance et le périmètre est clair
  • Google Cloud Fraud Defense permet d’appliquer une attestation d’appareil sur le web ouvert à n’importe quelle URL qu’un opérateur décide de placer derrière cette barrière
  • Cette approche n’offre ni structure de consentement équivalente ni limitation de finalité, et les utilisateurs peuvent difficilement comprendre que l’identité matérielle de leur appareil agit comme un justificatif d’accès

Exclusion des utilisateurs pour qui la vie privée est importante

  • L’attestation Google Play Integrity exige Google Play Services
  • GrapheneOS est un fork Android renforcé sur le plan de la sécurité qui n’inclut pas Play Services par défaut ; il est recommandé par l’EFF et utilisé par des journalistes, avocats et militants dans des environnements à haut risque
  • GrapheneOS prend en charge une couche de compatibilité en sandbox pour exécuter certaines fonctions de Play Services, mais il ne satisfait pas au niveau MEETS_DEVICE_INTEGRITY de Play Integrity requis par Fraud Defense
  • La distribution Android orientée vie privée LineageOS for microG, créée pour les utilisateurs qui veulent des alternatives open source, échoue pour la même raison
  • Toute ROM custom excluant Play Services ne peut pas satisfaire aux exigences de Fraud Defense
  • Firefox for Android n’apparaît pas dans la liste explicite des navigateurs pris en charge par Google pour Fraud Defense
  • Firefox n’intègre pas Google Play Integrity par conception, et l’opposition de Mozilla à l’attestation d’appareil en 2023 était claire et reste d’actualité
  • En conséquence, parmi les principaux navigateurs mobiles, les utilisateurs de Firefox soucieux de leur vie privée sont exclus par défaut de l’accès vérifié, non pas parce qu’ils sont des bots, mais parce qu’ils utilisent un logiciel qui refuse de participer à l’architecture de certification de Google

Le problème d’un suivi « légitime »

  • Chaque réussite d’un défi Fraud Defense envoie à Google le signal que « cet appareil certifié a accédé à ce site à ce moment-là »
  • L’attestation d’appareil ne sert pas seulement à bloquer ou autoriser un accès : elle produit aussi des informations d’attribution
  • Un appareil doté d’une identité matérielle stable peut créer un identifiant persistant traversant les sessions, les navigateurs et les modes de navigation privée
  • L’entreprise qui définit quel matériel est « légitime » accumule aussi un historique durable des destinations de ce matériel sur le web ouvert
  • Ce n’est pas un effet secondaire de la lutte contre la fraude, mais une décision structurelle consistant à lier la vérification à une identité d’appareil certifiée

L’approche par preuve de travail proposée comme alternative

  • Private Captcha et des systèmes de preuve de travail similaires émettent des défis cryptographiques qui demandent un effort de calcul
  • Pour un utilisateur seul, le coût de résolution d’un défi unique est négligeable
  • Pour une ferme de bots exécutant plusieurs sessions simultanées, le coût de calcul augmente à chaque tentative supplémentaire
  • Les agents IA qui fonctionnent en consommant des cycles GPU subissent la même pénalité de coût, quelle que soit la sophistication de leurs capacités d’inférence
  • Cette approche n’envoie pas d’identifiants matériels, n’exige pas d’attestation et n’introduit pas de couche de certification décidant qui peut participer
  • La vie privée des utilisateurs y est préservée structurellement, et non par simple promesse

À lire aussi

1 commentaires

 
GN⁺ 1 시간 전
Avis sur Hacker News

  • C’était prévisible depuis longtemps. Les ordinateurs résolvent les CAPTCHA mieux que les humains, et les humains peuvent être payés ou manipulés pour rejoindre des botnets, donc les listes blanches d’IP ne fonctionnent pas non plus
    Aujourd’hui, on a beaucoup d’empreintes et d’analyse comportementale, mais les gouvernements régulent aussi ce domaine. YouTube a lui-même eu un énorme problème de fraude publicitaire avec des pubs lues en arrière-plan sur des vidéos intégrées, donc la détection n’était manifestement pas suffisante
    Il n’existe pas beaucoup de bonnes façons de prouver qu’on n’est pas un bot, et il y en a encore moins qui n’impliquent pas une forme de vérification d’identité. Cette approche opt-in aidera sans doute, pour un temps, à rejeter la responsabilité sur chaque boutique en ligne, mais à long terme j’ai l’impression que l’internet ouvert centré sur l’humain va disparaître ou se retrouver verrouillé derrière ce type de vérification par preuve
    Apple a ajouté il y a quelques années une attestation à distance dans Safari avec Cloudflare, et Google va maintenant un cran plus loin. L’approche d’Apple marche mal contre les bots qui manipulent réellement un navigateur, plutôt que de simples outils d’automatisation par script
    Heureusement, pour l’instant, cela vise surtout des boutiques et autres services similaires, donc on peut contourner en achetant ailleurs. Mais si les boutiques découvrent qu’il existe des centaines de téléphones dans des click farms qui ne font que cliquer sur du contenu distant, l’adoption pourrait aussi rester limitée
    Il faudra probablement encore des années avant une généralisation complète, mais à moins que l’IA ne cesse soudainement d’être utilisée partout, cela semble au final difficile à éviter

    • Il est intéressant de voir que le CAPTCHA s’est popularisé au départ comme test de Turing inversé, et qu’il est maintenant devenu en pratique une sorte de variante de la preuve de travail (Proof of Work)
      À l’époque, Google a intelligemment exploité cela pour améliorer ses modèles d’OCR, et ça a réellement servi à quelque chose, mais aujourd’hui on peut se demander à quoi sert exactement le “travail” ainsi prouvé
    • Il est difficile de croire que cela ne sera pas contourné aussi, en payant des gens pour scanner des QR codes et en trichant sur la localisation
    • Je me demande concrètement à quoi ressemble le fait de corrompre des gens. Combien on peut gagner, ce qu’il faut faire, si ça consiste juste à brancher une petite boîte sur son réseau et l’oublier
      Je me demande aussi s’il y a moyen de négocier en la retirant avant le prochain paiement. Je demande pour un ami qui préférerait éviter de vendre son plasma pour vivre
    • Personnellement, je pense qu’il est plus facile de détecter des sessions de navigateur pilotées par des LLM. Les gens qui déploient ça sont bien plus naïfs et inexpérimentés que ceux du scraping ou du crawling traditionnels
      J’ai envie de glisser le mème “Vous n’allez quand même pas apporter une Zip Bomb de 40 pétaoctets à l’école ?”
    • Selon la structure de coûts, Google finira sans doute par perdre comme dans l’anti-triche des jeux vidéo. Si on a des outils qui analysent l’image à l’écran et envoient les entrées comme un périphérique USB, il n’y a pratiquement plus rien à détecter
      Faire ça sur une page web semble bien plus simple que dans un jeu vidéo

  • De “Don’t be evil” à l’entreprise qui construit le système de surveillance le plus vaste et le plus intrusif du monde
    C’était déjà vrai avant ça, mais cette affaire montre bien que, pour Google, il n’y a jamais assez de traçage. Google cherchera toujours à suivre davantage l’activité en ligne de tout le monde et utilisera tous les outils possibles

    • Il n’y a pas seulement une entité abstraite appelée Google, il y a aussi des personnes concrètes qui imaginent et poussent ce genre d’idée
      Il faut arrêter de voir les entreprises comme des entités abstraites et les voir comme des groupes de gens malsains qui prennent ce type de décisions

  • J’ai cliqué d’affilée sur trois liens HN, et tous semblaient mener à des textes générés par LLM. Je ne suis pas opposé à l’IA en soi, mais je suis fatigué de voir la pensée et l’expression humaines être remplacées en silence

    • Je vois souvent cette attitude du type “ça a clairement été généré par une IA”, mais je me demande sur quoi elle repose. Qu’est-ce qui fait dire qu’un texte vient d’un LLM, et comment le savoir ?
      Ce qui semble plus clair, en revanche, c’est que nos systèmes de confiance sont déjà en train de s’effondrer. Le fait que les auteurs de commentaires s’accusent mutuellement d’être des IA en est un bon exemple

  • Que ce soit AMP, Manifest V3, les manipulations autour des sources Android, les tentatives de remplacer les cookies par des absurdités comme FLoC, ou maintenant ça, Google devient rapidement une force malveillante contre l’internet ouvert

    • Finalement, RMS avait raison depuis le début. C’est assez frappant
    • AMP, c’était vraiment insupportable quand je bossais dans une boîte de dev web orientée marketing il y a 4 ou 5 ans
      Ça donnait vraiment l’impression que “Google adore prendre vos articles et les pousser dans sa propre interface moisie sous prétexte de faire gagner un peu de temps aux utilisateurs”
      D’un côté, on nous demandait des designs complexes pour différencier les sites, et de l’autre on devait se plier à une énorme entreprise qui voulait court-circuiter tout le web design et déverser le contenu dans une UI prédéfinie
      Heureusement que ça a disparu. Vu l’historique global de Google, on aurait dû savoir que ça finirait mort en quelques années
    • La dernière fois, avec WEI, des employés de Google avaient aussi minimisé l’impact en disant que ce n’était pas grand-chose et que les gens faisaient de l’hystérie. Je viens de vérifier, tous ceux qui défendaient ça ont quitté l’entreprise depuis
      Une nouvelle vague de managers Google désireux de plaire à la hiérarchie viendra bientôt défendre ce nouveau plan
    • Vous ne voyez pas tout ce qui se referme autour de nous ? Ce n’est pas juste Google. Les gouvernements et les entreprises du monde entier avancent en même temps. Le nœud coulant se resserre progressivement, puis d’un coup plus brutalement, et il vise tout le monde
      https://community.qbix.com/t/increasing-state-of-surveillanc...
      Ces menaces s’emboîtent par conception, ou finissent par converger. Les couches d’identité (1 à 5) créent les prérequis pour le reste, et dès qu’une identité est établie au niveau SIM/compte/appareil, des exceptions politiquement exploitables rendent la surveillance possible. Les utilisateurs puissants sont exemptés, les utilisateurs ordinaires sont surveillés
      Les couches liées aux appareils (10 à 12, 16 à 19) créent les points terminaux de la surveillance. Si le contenu est scanné sur l’appareil avant chiffrement, la protection cryptographique de la couche de communication devient sans intérêt
      La couche de communication (6 à 9) est celle qui a été le mieux défendue, et les tentatives de scan de masse y ont été bloquées à plusieurs reprises. C’est la couche qui a le meilleur historique de résistance
      La couche de signalement (13 à 15) en est encore à ses débuts. Les hooks de signalement direct depuis le système d’exploitation vers l’État n’ont pas encore été déployés à grande échelle, et la proposition britannique de décembre 2025 est à l’avant-garde sur ce front
      Le contrôle des plateformes (20 à 24) détermine si des alternatives peuvent exister. La diversité des navigateurs, de la distribution d’apps et des moteurs est une protection structurelle, et les trois se réduisent
      Une société où ces cinq couches sont entièrement en place dispose d’une infrastructure de surveillance totale avec clauses d’exception pour les élites. Nous en sommes à peu près à 40 %. Que cette infrastructure devienne ou non dystopique dépendra non pas de la technologie, mais de choix politiques
      L’ensemble de HN semble étonnamment insensible au resserrement du nœud coulant, parce que beaucoup sont farouchement hostiles aux alternatives décentralisées et distribuées dès qu’un token y est mêlé, même un peu. On peut se plaindre, mais enterrer et downvoter les alternatives décentralisées par esprit de groupe, c’est devenir au moins en partie complice de l’érosion de la vie privée et de la liberté. Même si on n’adhère pas au projet, le travail qui y est mis devrait suffire à justifier un upvote. Sans ce type d’effort, on est pratiquement foutus
    • Ce n’est pas que “ça devient rapidement comme ça” : ça a toujours été le cas
      Google montait littéralement déjà des cartels comme l’“Open Handset Alliance” il y a des décennies
      En contrôlant Chrome et Search, qui sont en situation de monopole, Google détient un pouvoir absolu sur la manière dont les sites web sont rendus et peuvent être découverts

  • Je recommande vivement de quitter Chrome. Google a complètement perdu tout respect
    C’est un petit mouvement, mais ça peut peut-être rouvrir une fenêtre à d’autres acteurs, comme lors de l’arrivée initiale de Chrome

    • J’ai vraiment essayé de quitter Chrome quand ils ont cassé les bloqueurs de pub, et j’ai testé des alternatives pendant des mois, mais aucun autre navigateur ne me convenait
      Sur Mac, j’utilise surtout Safari, mais sous Windows cette option n’existe pas, les gros acteurs ne m’inspirent pas, et les petits sont difficiles à juger fiables
      Même parmi les “gros” petits acteurs, la confiance côté sécurité reste limitée. Il y a eu par exemple des cas comme la fonction “Boosts” d’Arc Browser, qui permettait l’exécution de code à distance
      Donc au final, je suis revenu à Chrome

  • Je n’aime pas ce que fait Google, quoi qu’il fasse, mais cet article a des problèmes
    Le passage disant que “pour une action nécessitant une attestation Play Integrity, un appareil Android conforme coûte actuellement environ 30 dollars au prix du marché” suppose que la logique côté Google ressemble à if(attestationResult == "success") allow(). Mais il n’est pas difficile d’imaginer que le type d’appareil entre dans un score de fraude. Par exemple, les appareils chers pourraient recevoir un score de fraude plus bas que les appareils bon marché, ce qui découragerait l’achat en masse d’appareils à bas prix. On peut aussi analyser la combinaison d’appareils sur un site donné : si des milliers de téléphones chinois s’inscrivent soudainement chez Anne's Muffin Shop, ils obtiendront probablement un score de fraude plus élevé
    Le passage “Firefox pour Android n’est pas dans la liste des navigateurs compatibles avec Fraud Defense de Google” aussi : le navigateur n’a qu’à afficher un QR code, donc Firefox mobile pourrait très bien ouvrir un deeplink vers Google Play Services sur le téléphone, ou simplement afficher le QR code
    Les défenses anti-bot fondées sur la preuve de travail ne se sont presque jamais imposées, parce que les performances JavaScript sont mauvaises et que le temps humain coûte plus cher que le temps machine. Un attaquant se fiche d’attendre 10 secondes qu’un serveur résolve un puzzle de preuve de travail, alors qu’un humain, lui, s’en soucie. Chez Hetzner, un serveur 8 cœurs coûte 10 centimes de l’heure. Même en supposant que tout le monde utilise un CPU de bureau équivalent à 8 cœurs, un défi de 6 minutes coûte 1 centime à l’attaquant. Combien un humain ordinaire valorise-t-il 6 minutes de son temps ?

  • C’est vraiment déplaisant, et le fait de tenter de faire passer ça en douce sans débat public est de mauvaise foi. J’espère que ça sera bloqué comme la dernière fois. Au minimum, il semble y avoir un vrai problème antitrust

    • Je suis d’accord sur le problème antitrust, mais je ne suis pas sûr qu’aujourd’hui ce soit encore perçu comme un obstacle sérieux
    • La dernière fois aussi, Google a essayé de blanchir ça en passant par le GitHub personnel d’un employé pour prendre ses distances avec le projet, et a emballé la proposition de la façon la plus malhonnête possible, comme si c’était ce que voulaient les utilisateurs
      En réalité, c’était juste un outil de plus pour permettre à Google d’exercer son contrôle

  • C’est peut-être une question idiote, mais je ne comprends pas comment ça fonctionne pour les utilisateurs d’iPhone. Il n’y a pas Google Play, et là on dirait qu’il faut Android/Google Play
    Ils ne vont quand même pas exclure une part aussi énorme du marché

  • Cet article repose sur de mauvaises hypothèses
    Par exemple : “les opérateurs de bots feront une petite automatisation maison avec du matériel standard pointé vers l’écran par une caméra. Pour les actions nécessitant Play Integrity, il faut un appareil Android compatible à 30 dollars”
    Une ferme de bots ne pourra pas contourner longtemps cela avec des téléphones à 30 dollars. Vous pensez vraiment que Google verrait le même identifiant matériel apparaître des milliers de fois par jour sans considérer ça comme un usage frauduleux ?
    J’apprécie que Google ait au moins fait une vraie proposition pour éviter que le web ne devienne un dépotoir infini de déchets IA. Cet article, lui, ne propose pas de meilleure alternative, et j’aimerais en voir une

    • Les téléphones sont extrêmement bon marché, surtout en reconditionné. Il suffit d’imiter des cycles de sommeil/réveil réalistes et de les laisser parfois au repos. Il faut juste utiliser 25 % d’appareils en plus pour compenser la perte de temps de fonctionnement
      Et puis il y a réellement des gens qui scrollent sur leur téléphone toute la journée et toute la nuit. Ça peut être des chômeurs, des personnes handicapées, ou des gens souffrant d’insomnie ou de manie. Donc il est difficile d’en faire un bon signal sans provoquer un retour de bâton plus large. Ils voudront vraiment éviter de déclencher la colère de personnes en difficulté qui ont un temps libre quasi illimité
    • Ce qui est particulièrement drôle, c’est qu’il s’agit en fait de content marketing pour vendre un “CAPTCHA” fondé sur de la preuve de travail computationnelle
      Cette approche est une pure techno-fraude, et son économie pourrait avantager les abuseurs d’au moins quatre ordres de grandeur par rapport à ce système d’attestation
    • On dirait que l’IA a repris le chiffre de 30 dollars dans mes commentaires HN. Cela dit, c’est vrai aux États-Unis. https://www.walmart.com/ip/Straight-Talk-Motorola-Moto-g-202...
      Le verrouillage opérateur n’a pas d’importance dans ce cas d’usage. Je ne sais pas si le stockage d’identifiants uniques d’appareil est légal dans l’UE
    • Quelqu’un va probablement en faire un produit. La dépendance aux téléphones cloud existe déjà, et les services de résolution de CAPTCHA ont déjà prouvé la demande ; si ça devient un service cloud, on reviendra à la case départ
    • L’idée qu’une ferme de bots ne pourra pas contourner longtemps ça avec des téléphones à 30 dollars est déjà fausse. Ils le font déjà, et on est plus proche de moins de 5 dollars par appareil que de 30
      Il suffit d’acheter les pires rebuts du marché de l’occasion
      Miser sur l’attestation d’appareil, c’est miser sur le fait que les smartphones vont devenir moins courants et plus coûteux à posséder. Ça ne semble pas très probable

  • Je comprends pourquoi Google veut faire ça, et je comprends aussi pourquoi les gens s’opposent à cette solution précise
    Il faut aussi voir que l’auteur de cet article vend sa propre solution par preuve de travail pour ce problème
    Je reste très sceptique sur l’idée que la preuve de travail soit la bonne direction ici. Beaucoup d’utilisateurs du web ont du matériel ancien. Ajouter un péage computationnel ne résout rien dans un monde où les ressources de calcul disponibles varient énormément d’un utilisateur à l’autre
    Pendant ce temps, les botnets ont accès à des milliers de machines et se moquent peut-être d’attendre 10 secondes de plus. Pire encore, ils pourraient développer une solution sur mesure fondée sur des ASIC, capable de résoudre des puzzles de preuve de travail des milliers de fois plus vite que le portable de votre grand-mère