Nouveau reCAPTCHA : un téléphone approuvé désormais nécessaire pour passer la vérification

 (cybernews.com)
2 points par GN⁺ 4 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Le nouveau reCAPTCHA de Google exige désormais, même lors d’un usage sur ordinateur de bureau ou portable, de scanner un QR code avec un appareil mobile compatible pour effectuer la vérification
  • GrapheneOS avertit que l’accès à des services en ligne pourrait être bloqué en l’absence d’un appareil iOS ou d’un Android avec Google Play Services installé
  • La liste de compatibilité de Google ne comprend que les appareils Android avec Google Play Services et les appareils iOS/iPadOS, ce qui empêche des smartphones Android dégooglisés de terminer la vérification
  • Google estime que ce mécanisme basé sur un QR code vise à empêcher les agents IA de résoudre trop facilement les anciens défis, et à rendre la fraude automatisée économiquement impossible
  • Sur Hacker News, X, Reddit et ailleurs, la contestation grandit : l’exigence d’attestation à distance et d’un appareil authentifié limiterait moins pour la sécurité que pour la liberté informatique et la concurrence sur le marché mobile

Qu’est-ce qui a changé ? Les restrictions matérielles du nouveau reCAPTCHA

  • Le dispositif impose désormais de posséder un Android approuvé ou un iPhone pour prouver que l’on est humain, l’utilisateur devant scanner un QR code avec un « appareil mobile compatible »
    • GrapheneOS avertit que les utilisateurs d’OS et d’appareils axés sur la confidentialité se retrouvent exclus de la vérification
  • À la suite de ce changement récent, des appareils et systèmes d’exploitation arbitraires comme les smartphones Android dégooglisés ne peuvent plus terminer la vérification reCAPTCHA de Google
  • La liste des appareils pouvant achever la vérification se limite aux appareils Android avec Google Play Services installé et aux appareils iOS/iPadOS
  • reCAPTCHA est un outil de sécurité utilisé par des millions de sites web et de grands services pour distinguer les humains des bots
    • Il fonctionne le plus souvent de manière invisible en arrière-plan, mais peut proposer des défis comme identifier des bouches d’incendie ou des feux de signalisation lorsqu’une activité paraît suspecte

  • Les critiques de GrapheneOS

    • Dans une déclaration publique, GrapheneOS qualifie cette mesure d’« extrêmement anticoncurrentielle »
    • « Le contrôle de reCAPTCHA place Google en position d’exiger iOS ou un appareil Android certifié pour utiliser d’immenses pans du web »
    • Le projet décrit ce changement comme une extension de l’attestation matérielle, qui exclurait de plus en plus la concurrence au niveau du matériel et des OS
      • attestation : méthode consistant à prouver cryptographiquement, via une puce de sécurité intégrée, qu’un matériel est bien un appareil authentique
    • « L’objectif de ce système est d’empêcher l’usage de matériel et de logiciels non approuvés par Apple ou Google, ce qui est présenté à tort comme une fonction de sécurité »
      • « Des appareils non corrigés depuis 10 ans sont autorisés, tandis que des OS bien plus sûrs sont bloqués » ; selon eux, l’objectif serait d’imposer un monopole via les licences Google Mobile Services

  • Cloud Fraud Defense et les défis résistants à l’IA

    • Le nouveau reCAPTCHA fait partie de la plateforme Cloud Fraud Defense annoncée le 22 avril, conçue pour vérifier la légitimité des bots, des humains et des agents IA
    • Google explique que « la hausse des automatisations sophistiquées exige un changement fondamental dans la gestion du risque »
    • La liste de compatibilité ne comprend que les appareils Android avec Google Play Services installé et les appareils iOS/iPadOS
    • Les exploitants de sites web disposent d’un contrôle fin pour autoriser ou bloquer bots et agents IA selon des critères comme le score de risque, le type d’automatisation et l’identité de l’agent
    • Le nouveau CAPTCHA basé sur un QR code vise à bloquer les agents IA capables de résoudre facilement les anciens défis
      • Google explique que « ce défi d’atténuation résistant à l’IA, qui prouve la présence humaine, a été conçu pour rendre la fraude automatisée économiquement impossible »
    • Google migre les clients reCAPTCHA existants vers Fraud Defense sans action supplémentaire ni changement tarifaire
    • La fonctionnalité serait déjà déployée discrètement depuis au moins octobre 2025, un billet de blog de l’époque présentant cette approche par QR code comme offrant une « sécurité résistante à l’IA plus forte »
      • Même lors d’une navigation sur PC ou Mac, l’intervention d’un appareil mobile physique fournirait « une attestation à haut niveau de confiance de la présence d’un humain unique »
    • GrapheneOS explique qu’il s’agit d’« introduire une exigence d’attestation matérielle sur Windows, Linux desktop, OpenBSD, etc., en imposant le scan d’un QR code avec un smartphone certifié. Cela pourrait encore s’étendre »
    • Des défenseurs de la vie privée avertissent que des services exigeant de plus en plus Apple App Attest ou Google Play Integrity consolident le duopole du marché mobile
      • GrapheneOS mentionne que « l’UE pousse ce type d’exigences dans les paiements numériques, l’identité et la vérification d’âge, et de nombreuses applications gouvernementales de l’UE les imposent »

Réactions et inquiétudes

  • Les exploitants de sites web choisissent la solution CAPTCHA qu’ils utilisent et le niveau de rigueur avec lequel ils l’appliquent
  • Les défenseurs de la vie privée avertissent que la multiplication des exigences Apple App Attest ou Google Play Integrity renforce la domination à deux acteurs sur le marché mobile
  • GrapheneOS estime que l’UE mène la tendance à appliquer ce type d’exigences aux paiements numériques, à l’identité et à la vérification d’âge, et que de nombreuses applications gouvernementales européennes les imposent

  • Réactions de la communauté technique et des réseaux sociaux

    • Sur Hacker News, une opinion largement partagée dans la communauté technique veut que l’enjeu central soit moins la sécurité qu’une prise de pouvoir
    • Un utilisateur de Hacker News a écrit : « L’attestation à distance sera la manière dont mourra notre liberté informatique »
    • Sur X, des publications liées au sujet ont totalisé plusieurs millions de vues et des dizaines de milliers de réactions
    • International Cyber Digest écrit que les utilisateurs de téléphones Android dégooglisés comme GrapheneOS, CalyxOS ou /e/OS seront bloqués sur des millions de sites web s’ils n’installent pas Google Play Services, qu’ils avaient volontairement supprimé
    • International Cyber Digest affirme que « Google traite désormais la vie privée comme un comportement suspect par défaut »

  • Tentatives similaires passées et inquiétudes de sécurité

    • L’entreprise de confidentialité en ligne Mega affirme que Google avait déjà tenté d’implémenter une mesure similaire en 2023 sous le nom de Web Environment Integrity, avant d’y renoncer après une réaction publique négative
      • « Cette fois, au lieu d’une proposition publique, ils l’ont lancé comme un produit commercial. Les anciennes méthodes CAPTCHA restent accessibles en solution de repli pour le moment, mais on ne sait pas combien de temps cela durera »
      • « Personne ne peut se faire vérifier sans appareil certifié »
    • Des discussions similaires se poursuivent aussi sur Reddit
      • Un utilisateur de Reddit rejette l’idée d’un QR code dans le CAPTCHA et avertit qu’il s’agit d’une nouvelle méthode de surveillance, comme la vérification d’âge et l’anti-VPN
      • Certains utilisateurs craignent que le nouveau reCAPTCHA par QR code ouvre de nouvelles voies d’attaque pour les fraudeurs, comme de faux QR codes de confirmation ou l’imitation du flux de vérification
      • « Ceux qui ont conçu ça n’ont absolument pas pensé à la sécurité. Les escrocs vont se régaler »

À lire aussi

1 commentaires

 
GN⁺ 4 시간 전
Avis sur Lobste.rs

  • Du point de vue de la sécurité du comportement des utilisateurs, cela ressemble à un énorme recul
    Désormais, un attaquant peut falsifier un QR code reCAPTCHA pour envoyer l’utilisateur où il veut, et il n’y a aucune garantie ni même d’attente réaliste que ce code soit authentique
    Il existe déjà de fausses pages Cloudflare Turnstile qui demandent d’appuyer sur Windows+R puis de coller quelque chose, et il semble presque impossible d’éduquer les utilisateurs face à ça

    • C’est une très bonne manière d’attaquer une authentification à deux facteurs dont le second facteur est le téléphone
      Désormais, l’attaquant peut diriger les deux facteurs d’authentification vers un environnement qu’il contrôle
    • C’est affreux
      Je pensais qu’il faudrait une application reCAPTCHA dédiée pour scanner le QR code, mais ce n’est en fait qu’un QR code contenant une URL ordinaire
    • On pourrait probablement s’y opposer au niveau de l’organisation en disant quelque chose comme : « c’est impossible à distinguer d’un vrai phishing et les utilisateurs vont se faire piéger massivement »
      Cela dit, s’ils sont déjà en train de l’essayer, je ne sais pas s’ils écouteront

  • La première fois que j’ai vu ça, j’ai été sidéré, pensant à une tentative de phishing mal ficelée
    J’utilisais Tor à ce moment-là, et scanner le code avec un téléphone lié à mon compte Google aurait pu briser cet anonymat
    Il était encore possible de revenir à un CAPTCHA visuel, mais je crains que cette option disparaisse bientôt elle aussi
    Cela rendrait l’usage anonyme d’Internet bien plus difficile
    La prétention « AI-resistant » est aussi du pur non-sens
    J’ai du mal à croire qu’ils n’aient pas imaginé l’automatisation du processus de scan du QR code

    • C’est précisément le but
      L’objectif final est d’exclure tous les appareils offrant un libre accès à l’informatique générale, et d’éliminer l’anonymat de tous les visiteurs
    • Bien sûr qu’ils connaissent la possibilité d’automatiser le scan des QR codes
      Mais, comme le dit le billet, ce processus impose l’usage d’un matériel spécifique, et l’idée clé est de pouvoir prouver physiquement ce matériel
      Le but est de rendre la montée en échelle coûteuse
      Si un téléphone est bloqué, il ne suffit plus de réinitialiser un conteneur Docker ; il faut obtenir un nouveau téléphone
      Je ne sais pas exactement comment fonctionne ce QR code, ni s’ils utilisent un identifiant stable
      Il pourrait exister des options moins intrusives, comme un compteur TPM, ou ils pourraient employer une méthode totalement différente
      Mais à mon avis, s’ils exigent un matériel spécifique, c’est pour rendre possible cette preuve matérielle
      Cela poursuit en pratique le même objectif que la proposition d’intégrité de l’environnement web, mais d’une manière plus pénible
      Cette approche a été abandonnée à cause de la réaction hostile à WEI, mais le problème des attaques sybil qu’elle cherchait à résoudre n’a pas disparu, et si le coût d’attaques sybil illimitées est pratiquement nul, le web sous sa forme actuelle ne peut fondamentalement pas être maintenu
      Donc ils continueront à essayer de le résoudre d’une façon ou d’une autre

  • Je navigue surtout sur le web depuis un ordinateur de bureau ou un portable, et je n’ai aucune intention de scanner avec mon téléphone le QR code d’un site web aléatoire
    Dans ce cas, j’irai simplement ailleurs

  • J’utilise GrapheneOS, et j’aimerais bien pouvoir continuer
    J’ai de plus en plus l’impression qu’il faudra un appareil secondaire pour les applis bancaires, et maintenant même pour les CAPTCHA, ce qui est vraiment du gaspillage

    • Il devient au contraire de plus en plus important de dire non aux services qui exigent ce genre de choses

  • Je ne comprends pas comment c’est censé fonctionner
    Comment vérifient-ils avec quel appareil je scanne le code ?
    Ça me semble forcément facile à falsifier, donc je ne vois pas

  • Je n’ai qu’un téléphone à clapet, donc ça veut dire que je ne peux plus utiliser les sites avec reCAPTCHA ?

  • On dirait que les capitalistes de la tech n’ont pas réussi assez vite à résoudre le problème consistant à « désanonymiser les utilisateurs à partir de leurs schémas de publication »