Le projet de Mozilla pour des identifiants web préservant l’ouverture et la vie privée à l’ère des bots

 (blog.mozilla.org)
3 points par GN⁺ 4 시간 전 | 1 commentaires | Partager sur WhatsApp
  • À mesure que les abus par bots augmentent, les sites web renforcent les CAPTCHA et les exigences de connexion, et même les utilisateurs légitimes subissent à la fois davantage de friction d’accès et une baisse de leur vie privée
  • Le renforcement de la protection contre le pistage dans les navigateurs est nécessaire pour protéger les utilisateurs, mais il affaiblit aussi les signaux d’anti-abus que les sites utilisaient jusque-là, comme les adresses IP et l’empreinte du navigateur
  • Mozilla estime que les preuves de confiance de l’appareil comme Web Environment Integrity risquent de transférer le contrôle de l’accès au web à un petit nombre d’éditeurs d’OS et de fabricants de matériel
  • L’alternative repose sur des identifiants anonymes capables de vérifier qu’un utilisateur reste dans des limites d’usage raisonnables sans révéler son identité ni l’origine de l’émission
  • Cloudflare et d’autres navigateurs ainsi que des acteurs du web ont commencé à travailler ensemble sur cette conception, avec pour objectif de réduire les CAPTCHA, les blocages inutiles et les demandes d’auto-identification

Là où la protection de la vie privée entre en conflit avec la prévention des abus

  • La protection de la vie privée sur le web continue de se renforcer
    • Les navigateurs orientés vie privée suppriment les cookies tiers
    • Ils combattent les traqueurs en limitant le fingerprinting du navigateur et en masquant les adresses IP
  • Ce changement crée de nouveaux coûts pour l’expérience utilisateur
    • Les utilisateurs se retrouvent face à davantage de CAPTCHA, de demandes de connexion et de pages de blocage
    • Les adresses IP et l’empreinte du navigateur servaient au profilage des utilisateurs, mais étaient aussi utilisées comme signaux d’anti-abus par les sites
  • La hausse du trafic de bots pèse aussi directement sur l’exploitation des sites
    • Les abus à grande échelle, comme le credential stuffing et le spam, peuvent causer de vrais dommages
    • Même les visiteurs légitimes doivent supporter plus de friction et moins de vie privée, et les sites peuvent finir par écarter les utilisateurs qu’ils cherchaient justement à servir
  • Sans changement, les utilisateurs risquent d’être poussés à choisir entre vie privée et accès au web
  • Des propositions comme Web Environment Integrity (WEI) consistent à faire prouver au site que l’appareil et le logiciel de l’utilisateur sont « dignes de confiance »
    • Mozilla considère que cette approche déplace le contrôle de l’appareil de l’utilisateur vers un petit nombre d’éditeurs d’OS et de fabricants de matériel
    • Ces acteurs décideraient alors quels appareils et logiciels peuvent accéder au web, ce qui va à l’encontre de l’open web

Prouver le respect d’une limitation de débit avec des identifiants anonymes

  • Le cœur du problème des bots réside dans leur exécution à grande échelle
    • Un site n’a pas besoin de connaître l’identité de l’utilisateur
    • Il n’a pas besoin non plus de vérifier que l’appareil de l’utilisateur n’exécute que des logiciels approuvés
    • Il lui suffit de savoir que l’utilisateur reste dans une limitation de débit raisonnable
  • Pour qu’une limitation de débit soit efficace, il faut qu’un attaquant ne puisse pas facilement créer une nouvelle identité pour remettre le compteur à zéro
    • Si les sites exigent une adresse e-mail, une connexion fédérée ou une empreinte d’appareil, c’est aussi pour rendre coûteuse l’obtention d’un nouvel identifiant
    • Le problème est que ces identifiants peuvent aussi servir au pistage
  • Des relations utilisateur déjà établies peuvent jouer un rôle de garantie discrète sur d’autres sites
    • Par exemple, un site avec lequel l’utilisateur a une relation, comme un abonnement ou un ancien compte, pourrait se porter garant de lui
    • Un site visité pour la première fois pourrait alors avoir confiance dans le fait qu’il s’agit d’un vrai utilisateur respectant les limites, sans connaître son identité ni l’origine de cette garantie
  • Le cas des VPN montre bien pourquoi cette approche est nécessaire
    • De nombreux sites bloquent en bloc le trafic VPN au motif qu’il mélange trafic légitime et trafic abusif
    • Si un service VPN pouvait se porter garant de chaque abonné, un site pourrait gérer une limitation de débit par abonné
    • Mais si le système de garantie permettait de suivre les utilisateurs de VPN, cela ruinerait l’objectif même de l’usage d’un VPN
  • Les Private Access Tokens d’Apple, fondés sur Privacy Pass, fournissent des jetons à usage unique qui empêchent de relier les visites entre elles
    • Mozilla estime que cette approche a malgré tout des limites importantes
    • Comme WEI, elle repose sur une attestation de l’appareil et n’évite donc pas le gatekeeping matériel
    • Il est difficile d’ouvrir le système à davantage d’acteurs capables de se porter garants des utilisateurs tout en préservant la vie privée, et le contrôle peut se concentrer entre quelques mains
  • L’architecture visée par Mozilla est un système où n’importe qui peut se porter garant d’un utilisateur, et où chaque site peut choisir lui-même les garants auxquels il fait confiance
  • Les anonymous credentials permettent à un utilisateur de présenter ultérieurement à un site, un nombre limité de fois, des identifiants émis par une entité, sans que le site ni l’émetteur puissent en suivre l’usage
    • Il est aussi possible de masquer qui a émis l’identifiant et de ne prouver que le fait qu’il provient de l’un des émetteurs d’un ensemble de confiance
  • Mozilla a commencé à concevoir un tel système avec Cloudflare et d’autres acteurs du web, dont des navigateurs
  • L’objectif final est de réduire les CAPTCHA, les blocages inutiles et les demandes d’auto-identification, sans compromettre la vie privée

À lire aussi

1 commentaires

 
GN⁺ 4 시간 전
Commentaires sur Lobste.rs

  • « Avec Cloudflare » = refus immédiat
    En regardant la technical overview de la présentation technique, on voit qu’ils disent que Privacy Pass est utilisé par Apple, Chrome et Kagi, mais la manière dont Kagi l’utilise ne fournit pas de recherche privée de façon significative
    Kagi exploite à la fois l’Origin, l’Attester et l’Issuer, ce qui enfreint selon moi un principe central de l’architecture Privacy Pass

    • Ce n’est pas exact. L’architecture Privacy Pass prend en charge le fait qu’une seule entité remplisse les trois rôles (RFC 9576 §4.6)
      Cela dit, les canaux auxiliaires temporels peuvent susciter des inquiétudes. Les identifiants anonymes à présentations multiples aident déjà pas mal à réduire ce type de canal auxiliaire par rapport aux jetons à usage unique actuellement déployés dans Privacy Pass
  • L’article technique est lié à la fin : https://hacks.mozilla.org/2026/06/…
  • Ravi de voir qu’il y a des avancées ici. Dans un ancien poste, j’ai suivi les tentatives précédentes et j’y ai été un peu impliqué
    Cela dit, la partie disant que « si l’utilisateur n’a absolument aucun Endorsement d’un Anchor approprié, il peut amorcer un Credential via des mécanismes existants comme un CAPTCHA, la création de compte ou la connexion fédérée » me laisse perplexe
    Les CAPTCHA fonctionnent mal, sauf à faire rester l’utilisateur assez longtemps pour relever son empreinte, et la création de compte comme la connexion fédérée nécessitent elles aussi de mettre une barrière via un autre mécanisme, ce qui ne fait que repousser le problème d’un niveau
    En plus, on ne peut pas demander à quelqu’un qui essaie de se connecter à sa banque depuis l’ordinateur d’une bibliothèque de créer un nouveau compte sur un autre site web. Aujourd’hui, les « mécanismes existants » reposent énormément sur la collecte d’empreintes du navigateur, ou sur de l’attestation matérielle comme chez Apple ; si l’objectif de Mozilla et d’autres est justement de rendre impossible cette prise d’empreinte, je ne vois pas bien comment cela est censé fonctionner
  • Je me demande s’il ne serait pas plus utile de faire en sorte que les navigateurs classiques mettent agressivement en cache les pages web. Je comprends que cela puisse faciliter la prise d’empreinte des utilisateurs ou permettre aux bots de partager le cache
    Mais le principal problème d’Internet n’est pas que Shopify perde de l’argent à cause de la fraude, c’est que les contenus que nous avons visités sont en train de disparaître
  • Je ne sais pas. Une manière bien plus efficace de garder le web ouvert serait, me semble-t-il, de traiter la cause que sont les crawlers plutôt que de chercher des contournements
    Par exemple, ne pas mettre de l’IA partout, et ne pas soutenir ni rendre possibles les entreprises qui ont créé ce bazar au départ. Si les crawlers s’arrêtaient tout simplement, on n’aurait pas besoin de ce genre de contournements
    • Toutes les entreprises concernées sont, d’une manière ou d’une autre, profondément impliquées dans l’IA. Soit elles en vendent directement, soit elles ont fait pivoter tout leur modèle économique et leur identité de marque dans cette direction
    • Il y a cette phrase : « Si la solution à un problème dépend du fait que “tout le monde se contente de …”, alors ce n’est pas une solution. Tout le monde ne se contente pas de faire ça. Dans toute l’histoire de l’univers, cela n’est jamais arrivé, et cela ne va pas commencer maintenant » (source)
      Certes, l’IA a provoqué une flambée du trafic, mais ce problème est bien plus ancien que l’IA, et les crawlers ne sont même pas le plus grave. Par exemple, il y a des problèmes plus importants comme l’utilisation de dumps d’identifiants divulgués pour tenter des connexions à des comptes bancaires, ou les attaques par force brute sur les cartes cadeaux et les cartes de crédit
      Même si l’IA disparaissait, nous reviendrions seulement à un monde au niveau de 2021, et même à cette époque le problème était déjà extrêmement grave depuis longtemps