3 points par GN⁺ 2023-07-26 | 1 commentaires | Partager sur WhatsApp
  • Alors que la proposition Web Environment Integrity de Google suscite la controverse, Apple a déjà déployé sur macOS 13, iOS 16 et Safari un système similaire d’attestation des appareils sur le web, Private Access Tokens
  • Avec Private Access Tokens, lorsqu’un serveur envoie un HTTP 401 et un défi PrivateToken, le navigateur et l’OS font vérifier l’état de l’appareil par un attester, puis renvoient la requête avec un jeton signé
  • Cloudflare et Fastly l’ont intégré pour réduire les CAPTCHA, mais la même structure sert aussi de base pour qu’un serveur web exige que l’appareil de l’utilisateur prouve qu’il est un client légitime
  • La part de marché de Safari est d’environ 20 %, ce qui limite l’impact, mais les navigateurs basés sur Chromium dépassent 70 % ; si l’on y ajoute la proposition de Google, près de 90 % des clients web pourraient être soumis à une attestation
  • L’attestation peut exclure les nouveaux navigateurs, les nouveaux OS, l’open source et les appareils modifiés par l’utilisateur, avec le risque de voir les règles se durcir selon des critères comme la période de support officiel ou la présence d’une extension de blocage publicitaire

Déploiement et objectif d’Apple Private Access Tokens

  • Les inquiétudes grandissent autour de la proposition Web Environment Integrity, qui semble développée par des auteurs de Google et prototypée dans Chromium
  • Cette proposition relève de l’attestation sur le web : l’accès à certaines fonctionnalités, voire à un site entier, peut être limité selon que le client a été approuvé ou non par un émetteur de confiance
  • En pratique, les émetteurs de confiance les plus probables seraient Apple, Microsoft et Google
  • Apple a déjà développé et déployé il y a un an un système très similaire, Private Access Tokens, désormais intégré à macOS 13, iOS 16 et Safari
  • Apple présente Private Access Tokens comme « un outil puissant permettant de prouver qu’une requête HTTP provient d’un appareil légitime sans révéler son identité »
  • L’objectif principal de cette fonctionnalité est de supprimer les CAPTCHA, et Cloudflare ainsi que Fastly l’ont intégrée comme mécanisme de reconnaissance des clients réels

Fonctionnement de Private Access Tokens

  • Private Access Tokens repose sur un échange relativement simple au-dessus de HTTP, géré par une API de navigateur intégrée et connectée à des composants de l’OS afin de vérifier que le navigateur et l’OS sont légitimes
  • Ici, le critère de « légitimité » est défini par l’attester, c’est-à-dire par une entité comme Apple
  • Le flux de base est le suivant
    • Le navigateur envoie une requête HTTP au serveur web
    • Le serveur web rejette la requête et renvoie une réponse HTTP 401 avec un défi PrivateToken
    • Le navigateur envoie une partie du défi et des informations vérifiées sur l’appareil fournies par l’OS à l’attester
    • Après avoir vérifié que l’appareil est réel et non modifié, l’attester renvoie un jeton signé avec un émetteur de jetons de confiance pour l’origine et approuvé par l’attester
    • Le navigateur renvoie la requête en ajoutant le jeton signé dans l’en-tête Authorization
    • Le serveur peut alors traiter ce client différemment en se basant sur le fait qu’il a été vérifié par un fournisseur de confiance
  • Ce processus se produit déjà sur les appareils Apple utilisant Safari lorsque des services comme Fastly ou Cloudflare, qui exploitent cette fonctionnalité, soupçonnent la légitimité d’une requête
  • Private Access Tokens vise à protéger la vie privée en séparant les rôles d’origine, d’émetteur et d’attester, mais le traitement reçu sur le web dépend malgré tout du fait qu’Apple considère ou non la combinaison appareil/OS/navigateur comme acceptable

Différence de portée entre Safari et Chromium

  • Même à lui seul, Private Access Tokens représente déjà une charge pour le web et pour l’industrie, mais sa diffusion ne peut pas s’accélérer aussi vite que la proposition de Google à cause de la part de marché de Safari
  • La part de marché actuelle de Safari est d’environ 20 %
    • En mobile, environ 25 %
    • Sur desktop, environ 15 %
  • Chrome dépasse 60 % dans tous les segments, et l’ensemble de Chromium, incluant Brave, Edge, Opera et Samsung Internet, est encore environ 10 points plus haut
  • Tant que Safari reste le seul à proposer cette fonctionnalité, certains fournisseurs peuvent l’utiliser, mais il leur est difficile de bloquer ou de traiter différemment les clients sans attestation
  • Même si Safari n’atteste pas les anciennes versions d’OS ou de navigateur, l’impact sur les utilisateurs reste limité, qui verront statistiquement surtout davantage de CAPTCHA
  • Si Web Environment Integrity est introduit alors que plus de 70 % des clients web utilisent Chromium, il pourrait se répandre rapidement dans des parties majeures du web
  • Si Web Environment Integrity et Private Access Tokens coexistent, environ 90 % des clients web pourraient potentiellement être soumis à attestation, avec une pression croissante du type « pas d’attestation, donc traitement suspect »

Comment l’attestation fragilise l’ouverture du web

  • L’attestation ne permet l’usage qu’aux clients approuvés, ce qui nuit à la concurrence et à l’innovation
    • Il devient plus difficile de créer de nouveaux navigateurs ou OS
    • L’open source, les communautés et les petites initiatives indépendantes peuvent être durablement exclues de tels mécanismes
    • La comparaison est faite avec l’époque d’IE6 : si l’attestation avait existé alors, l’essor de Firefox et Chrome aurait rencontré un obstacle majeur
  • Par conception, cette structure rend plus difficile pour l’utilisateur de garder le contrôle de son propre appareil
    • L’un des objectifs centraux est précisément que les utilisateurs de logiciels modifiés ne soient pas attestés comme clients légitimes
    • Des usages comme la navigation web depuis un téléphone Android rooté peuvent être exclus
    • Un OS ou un matériel entièrement modifiable par l’utilisateur est difficile à attester de la manière visée par ces propositions
  • Les fournisseurs d’approbation peuvent durcir les règles par la suite
    • « attestation uniquement pour les appareils encore dans les 2 ans de support officiel »
    • « pas d’attestation pour les navigateurs avec extension de blocage publicitaire installée »
  • Les partisans de Web Environment Integrity estiment que des holdbacks, c’est-à-dire le refus d’attester certaines requêtes, pourraient empêcher les blocages fondés sur l’attestation
  • Mais des inquiétudes existent sur le fait que les pressions business rendent ces holdbacks difficiles à faire fonctionner en pratique, d’autant que l’attestation Android Play Integrity actuelle de Google n’utilise pas cette approche
  • Le succès du web repose largement sur la liberté d’utiliser des clients et des serveurs variés, et l’attestation rompt ce principe par conception

Des risques déjà visibles sur Android

  • Sur Android, il est techniquement possible de créer et d’exécuter son propre OS, et des distributions Android comme LineageOS fonctionnent normalement
  • Mais à cause des fonctions d’attestation, le risque demeure que des applications essentielles comme les apps bancaires considèrent l’utilisateur comme suspect et le bloquent
  • Empêcher la concurrence entre versions d’Android pose déjà problème, mais bloquer à la fois la concurrence entre navigateurs et entre OS sur le web pourrait avoir des conséquences bien plus graves
  • L’Anti-Fraud Community Group discute aussi d’autres propositions de la même famille pour de potentielles fonctionnalités web
  • La fraude et les bots sur le web sont de vrais problèmes, et il est utile de débattre des moyens de défense, mais bloquer la concurrence, affaiblir l’open source et le web ouvert, et retirer à l’utilisateur le contrôle de son appareil ne constituent pas un compromis raisonnable

1 commentaires

 
GN⁺ 2023-07-26
Avis de Hacker News
  • Hier, la proposition initiale de Google a suscité beaucoup de réactions du type « une scission de l’entreprise commence à avoir pas mal de sens », « va te faire voir Google », « je suis en colère et triste », « la réputation des personnes impliquées est complètement ruinée ».
    Aujourd’hui, on découvre qu’Apple n’a pas seulement proposé la même fonctionnalité l’an dernier, mais l’a effectivement implémentée et déployée, et le ton devient plutôt « cela pourrait être une occasion intéressante de relancer des rêves disparus depuis longtemps », « je comprends dans une certaine mesure les deux camps », « je vais laisser ça activé dans Safari pendant un an ou deux et voir ».
    Globalement, cela reste négatif, mais l’écart de ton entre Apple et Google est tellement marqué que le champ de distorsion de la réalité semble encore bien vivant.

    • Plutôt qu’un champ de distorsion de la réalité, c’est sans doute parce que Google est célèbre pour sa culture organisationnelle bottom-up, sollicite des retours sur des forums publics, et que les auteurs de la proposition répondent aussi à titre individuel.
      L’un d’eux a même posté directement sur Hacker News, ce qui encourage les gens qui n’aiment pas cette idée à penser que, s’ils harcèlent suffisamment les personnes concernées, celles-ci abandonneront, et donc à les harceler.
      Apple ne perd pas son temps avec ça : elle examine, planifie et exécute. On ne sait pas qui est impliqué, elle ne demande généralement pas de retours et fournit rarement même une justification détaillée de ses plans. S’énerver contre Apple sur un forum web est à peu près aussi utile que s’énerver contre un mur de briques.
      Le cliché de l’entreprise sans visage n’existe pas pour rien : c’est une politique délibérée visant à protéger les employés.
    • Sur les autres plateformes, les gens veulent de la liberté. Ils ne veulent pas que Microsoft les force à utiliser Edge, ni que les sites web les forcent à utiliser Chrome.
      Mais avec Apple, c’est l’inverse. On dit que la liberté d’installer des apps tierces est dangereuse, que la liberté d’utiliser iMessage dans un navigateur n’a aucun sens, et la plupart des gens semblent peu intéressés par la liberté d’utiliser un navigateur tiers sur iOS.
      Il est frappant de voir que l’effet de verrouillage des autres entreprises est jugé mauvais, tandis que celui d’Apple est activement évangélisé par sa base d’utilisateurs.
    • Les intentions et l’implémentation ne sont pas les mêmes.
      L’approche d’Apple ressemble davantage à un moyen de distinguer les utilisateurs humains des utilisateurs non humains sur les appareils Apple, et ne permet pas aux services de bloquer arbitrairement des navigateurs ou des systèmes d’exploitation comme dans la proposition de Google.
      Si vous utilisez déjà un appareil Apple, cela revient à ne pas avoir à remplir de captcha pour « vérifier que vous êtes humain ».
      Référence : https://developer.apple.com/wwdc22/10077
    • Tout à fait d’accord. Le marketing d’Apple est tout simplement le meilleur.
      À l’inverse, Google laisse une petite frange bruyante d’anti-Google éroder continuellement sa réputation, tout en faisant très peu de communication pour contrôler le récit.
      Ils semblent encore croire que l’écho d’un seul « don’t be evil » résonnera encore vingt ans plus tard.
    • On observe le même effet dans les articles sur les politiques sévères d’Apple en matière de systèmes d’exploitation.
      Quand Microsoft intégrait IE à Windows, c’était horrible ; mais quand Apple intègre Safari et bloque les navigateurs concurrents, ce serait dans l’intérêt des clients.
  • Cela pourrait vraiment être le point où Internet se scinde. C’est quelque chose qu’on prédit depuis les années 90.
    D’un côté, il y aurait un web d’entreprise « propre », approuvé par les autorités, où tout le monde est excessivement identifié ; de l’autre, une galaxie plus souple de graynet regroupant porno et communautés décentralisées.
    Si tous les bricoleurs sont repoussés hors du réseau d’entreprise, cela pourrait aussi devenir une occasion intéressante de relancer des rêves disparus depuis longtemps.

    • Je pense qu’une forme de cette scission existe déjà depuis quelques années, mais qu’elle s’est plutôt produite sur une couche sociale.
      J’ai toujours imaginé qu’une sorte de superstructure sociale, comme une bulle représentant la « société », s’était formée au-dessus d’Internet. Il en existait de petites versions depuis les années 90, mais l’essor des réseaux sociaux comme Myspace, Facebook et Twitter l’a vraiment lancée.
      Je ne pense pas que l’arrivée peu après de la « cancel culture » soit une coïncidence. Quand une sphère publique virtualisée apparaît, la question devient : qui décide de ce qui en fait partie ?
    • Voir les anarchistes d’Internet s’enthousiasmer à l’idée d’une scission du réseau me rappelle les nombreux survivalistes qui s’excitaient au début du Covid devant la possibilité d’un effondrement social.
      C’est une attitude du genre : « enfin, je vais pouvoir mettre à l’épreuve ces compétences dont les gens se sont moqués pendant des années ».
      Dans les deux cas, le problème est qu’on ignore l’immense majorité des gens qui souffriront sous le nouvel ordre. Très peu de personnes quitteront le jardin clos des entreprises pour rejoindre une autoroute de l’information libre.
    • Comme idée de récit, on pourrait imaginer que le web d’entreprise ne soit pas archivé et tombe dans l’oubli au siècle suivant, tandis que seul le graynet traverse le temps.
      Seuls de faibles échos du web d’entreprise seraient conservés via le graynet, et des archéologues du numérique s’efforceraient de mettre au jour les « secrets » d’une sagesse perdue cachée dans le web d’entreprise.
      Quelqu’un a sûrement déjà écrit ça, mais l’idée semble bien fonctionner.
    • Le problème avec ce concept d’attestation du web, c’est qu’en réalité, dans un réseau professionnel brillant façon SSO partout, Zero Trust en périphérie, mTLS partout, on en veut vraiment.
      On en veut aussi dans une certaine mesure dans les environnements domestiques où le cloud public rencontre l’usage privé, par exemple avec un tunnel Cloudflare Access utilisé à titre personnel et un tenant MS365 Business.
      Mais je ne voudrais absolument pas que cela touche l’expérience personnelle de navigation web ou l’environnement de navigateur personnel.
      Pour l’instant, ces désirs entrent pratiquement en conflit les uns avec les autres, et la technologie est déjà sortie du sac.
    • Si cela arrive, les gouvernements ordonneront simplement aux fournisseurs d’accès Internet et aux opérateurs mobiles de bloquer l’accès au graynet.
      Les rêves cyberpunk des années 90 sont sympathiques, mais ils semblent ignorer la réalité physique selon laquelle, pour se connecter au « Net », il faut toujours passer par le goulot d’étranglement qu’est le fournisseur d’accès Internet.
      Au final, il existe une limite impossible à lever à la capacité d’Internet à être véritablement contestataire.
  • Je peux me tromper, mais Web Attestation pourrait signer l’arrêt de mort des appareils Linux — et non Android ou Chrome OS — en tant que clients à part entière du Web.
    Linux est une plateforme trop diverse et trop facilement modifiable pour que l’attestation à distance fonctionne de manière fiable ; au final, il sera complètement exclu.
    Quelques distributions « bénies » feront exception, mais elles seront alors contrôlées par l’industrie et s’éloigneront fortement de l’esprit de Linux.

    • Comme les Private Access Tokens ne sont pas encore largement adoptés, on peut se faire une certaine idée de l’expérience utilisateur Linux potentielle en activant iCloud Private Relay et en naviguant sur le Web.
      On se fait classer par les filtres antispam de presque tous les sites, et il faut résoudre 3 à 5 CAPTCHA pour accéder aux zones protégées.
      Wikipedia bloque même l’édition : https://meta.wikimedia.org/wiki/Talk:Apple_iCloud_Private_Re...
    • Comme les seules plateformes qui implémenteront réellement Web Attestation semblent être précisément celles dont j’essaie de m’éloigner, j’espère au fond que cela servira de déclencheur pour me couper des réseaux sociaux et plateformes vidéo médiocres.
      Puisque je n’ai apparemment pas la volonté d’arrêter ces sites, il faudra peut-être que l’autre côté m’empêche tout simplement de charger leur contenu.
      Maintenant que je l’ai dit ici, ce n’est plus un secret.
    • Le keynote de Cory Doctorow au 28C3, The coming war on general computation, était prophétique.
      https://github.com/jwise/28c3-doctorow/blob/master/transcrip...
    • Si cela arrive, je pense que Windows et la plupart des appareils Android cesseront eux aussi de fonctionner.
      Ce sont aussi des plateformes trop diverses et trop modifiables pour sembler suffisantes dans un futur où il faudra prouver qu’on possède un matériel précis.
      J’entends souvent dire que quelques distributions « bénies » passeront sous le contrôle de l’industrie et que l’esprit de Linux disparaîtra, mais rarement expliquer concrètement comment cela se produirait.
      Linux est né parce qu’UNIX était contrôlé par l’industrie ; si l’on retire cet esprit à Linux, il sera forké en un autre projet communautaire.
      Tant qu’on ne lui retire pas la licence GPL, Linux conservera « l’esprit Linux » jusqu’à devenir complètement inutilisé.
    • C’est évidemment l’issue la plus prévisible de tout ce bazar.
  • Je ne suis pas d’accord avec l’argument selon lequel, comme Safari n’est pas le navigateur dominant, ce serait moins dangereux que la proposition de Google.
    En réalité, que ce soit Apple ou Google, c’est tout aussi mauvais, et Apple a fait un choix profondément décevant.
    Même si Google poussait dans ce sens, si Apple refusait, ce serait difficile à imposer en pratique. Les chiffres ne sont pas aussi élevés que pour Chrome, mais ils sont suffisamment importants pour qu’on ne puisse pas exclure tous les iDevice.
    Les trois seules entreprises qui comptent vraiment sont Apple, Google et Microsoft.

    • Exact. Jusqu’ici, Safari nous a épargné une quantité énorme de bêtises à la Google.
      Il est regrettable que, cette fois, il ne puisse pas empêcher une nouvelle catastrophe.
      C’est aussi pour cela que les lois obligeant Apple à ouvrir le sideloading m’inquiètent. J’aime l’idée que les gens contrôlent leur propre système, mais j’ai peur qu’en pratique ce soit le dernier clou qui permette à Google de verrouiller complètement le Web jusqu’au terminal client.
    • Il faut que tu rencontres mes collègues développeurs Web.
      Chaque fois que je leur signale qu’une fonctionnalité qu’ils ont implémentée n’est pas compatible avec plusieurs navigateurs, ils me disent invariablement de passer de Firefox à Chrome.
      Je n’ai jamais entendu quelqu’un me dire de passer à Safari pour faire fonctionner quelque chose. Cela en dit long.
    • Apple a les PAT, qui pourraient faire office d’alternative à WEI.
  • Sur iOS, il semble possible de désactiver cette fonction.
    Il faut aller dans Réglages, sélectionner le compte utilisateur tout en haut, aller dans « Password & Security », descendre jusqu’à Advanced, puis désactiver « Automatic Verification ».
    https://blog.cloudflare.com/how-to-enable-private-access-tok...

    • On peut aussi la désactiver dans macOS 13.
      https://support.apple.com/en-us/HT213449
      System Settings -> iCloud Settings (nom d’utilisateur) -> Password & Security -> Automatic Verification
    • Le fait qu’on puisse la désactiver n’a aucune importance.
      Si Chrome déploie WEI, plusieurs forks de Chromium permettront aussi de le désactiver, même si Chrome ne le fait pas, et on pourra utiliser Firefox.
      Le problème, c’est le moment où votre banque, l’administration fiscale ou votre service de streaming préféré commenceront à l’exiger.
      L’essentiel, c’est qu’une part importante des utilisateurs ordinaires disposent de cette fonction.
  • Je l’avais effectivement remarqué et j’avais même envisagé d’en parler sur mon blog, mais la seule raison pour laquelle cela ne me semblait pas problématique est que c’était implémenté uniquement sur les plateformes Apple, de sorte que les services n’avaient pas vraiment moyen de restreindre les utilisateurs avec ça.
    C’était simplement un facteur supplémentaire que les gens pouvaient utiliser comme un signal de plus.
    En revanche, la proposition de Google cherche explicitement à en faire une fonctionnalité toujours activée.
    L’explication selon laquelle des cas d’usage comme une « attestation déterministe de l’intégrité de la plateforme » reposent aujourd’hui sur le fingerprinting côté client revient à affirmer qu’une preuve déterministe à entropie limitée remplacera le fingerprinting intrusif et ouvrira, à long terme, la voie à des pratiques plus respectueuses de la vie privée.
    Le fait qu’Apple l’ait implémenté en premier prouve seulement que les gens qui espèrent qu’Apple nous sauvera sont naïfs.

    • Dans la réalité, l’attestation et le fingerprinting seront utilisés ensemble
  • Ce domaine est vraiment passionnant et potentiellement très clivant
    Il existe énormément de cas d’usage où, sur le Web, on voudrait savoir si l’on communique avec une pile matérielle et logicielle « de confiance »
    Depuis des années, nous concevons et construisons des systèmes en supposant qu’il y a très peu de confiance dans la pile, ce qui augmente énormément la complexité et les coûts, limite les fonctionnalités et rend tout bien plus difficile que si l’on pouvait supposer l’existence d’une pile fiable
    En même temps, comme beaucoup le soulignent aujourd’hui, dès que les grands monopoles technologiques entrent en jeu, la notion même de confiance devient très délicate
    D’un côté, il n’y a que quelques entreprises dans le monde capables de faire tourner de grandes équipes de sécurité pour affronter des acteurs de menace persistants ; il serait donc souhaitable de pouvoir faire confiance aux garanties de sécurité qu’elles proposent. Si ces garanties sont crédibles, elles valent mieux que tout ce qu’un particulier peut promettre au sujet de ses propres logiciels et plateformes
    De l’autre, au sens platonicien du hacker, « de confiance » se lit comme « garanti par un monopole », « avec probablement une porte dérobée de l’agence gouvernementale locale », ce qui nous fait descendre d’un cran de plus vers un futur technologique fascisant, fait de contrôle, de manque d’innovation et, au bout du compte, dominé par une poignée d’acteurs
    Au final, je pense qu’une solution susceptible de réussir doit inclure non pas un système fondé sur un registre, mais des technologies ouvertes de certification matérielle fiables. Il faut pouvoir produire de fortes attestations locales et les vérifier de manière indépendante
    Je connais quelques entreprises tech qui s’attaquent à ce problème côté silicium, mais c’est un problème très difficile, et je ne suis même pas sûr qu’il y ait aujourd’hui assez de demande pour qu’elles survivent
    Personnellement, je vais pour l’instant laisser cela activé dans Safari et voir ce que ça donne au cours des un ou deux prochaines années

    • Ce qui m’importe, c’est de savoir pour qui cette « confiance » ou cette « sécurité » est fournie
      Les technologies de DRM sont elles aussi discutées dans ces termes, mais leur objectif n’est pas de donner confiance à l’utilisateur : il est de donner confiance au développeur ou au détenteur du contenu
    • En pratique, un « Android de confiance » signifie un Android contenant des adwares et spywares Google impossibles à supprimer, et probablement encore plus d’applications inutiles propres aux fabricants
      On voit bien que ce n’est peut-être pas vraiment une question de confiance
    • Si vous ne voulez pas faire partie de la société « étatique », il suffit de communiquer en pair à pair avec vos amis
      Il faut choisir si l’on veut bénéficier des avantages du système étatique, et si cela vaut la peine d’en assumer les coûts
  • Le problème avec la plupart de ces systèmes, c’est qu’ils ne savent absolument pas gérer les situations exceptionnelles
    Ils fonctionnent bien pour 99 % de la population, mais les 1 % restants peuvent bien se débrouiller
    C’est comme vouloir accéder au bureau après les heures de travail juste pour récupérer les clés de voiture qu’on a oubliées, et se voir refuser l’entrée par un robot
    Le système est conçu pour être sûr, donc on ne peut pas convaincre le robot par la discussion. Avec un humain, il aurait généralement été beaucoup plus facile de discuter, de le convaincre et de trouver une solution qui marche
    Les techniciens finissent toujours par vouloir résoudre les choses par la technique. « S’il y a un problème, je le règle ; regarde ma techno pendant que le DJ mixe »

    • Internet a montré que si l’on ramène à zéro le coût d’interaction avec des gardiens humains — autrement dit, si l’on peut accéder à quelque chose depuis n’importe où dans le monde, sans avoir à être à un endroit précis à un moment précis — les attaques d’ingénierie sociale deviennent inévitables
      C’est ainsi que des comptes bancaires se font pirater, simplement parce que quelqu’un sait bien parler et inventer une histoire plausible pour convaincre un gardien humain
    • Un autre problème est de savoir quelle est la véritable racine de confiance de l’attestation
      Si c’est un moyen de dire « oui, cette personne est bien une personne réelle », cela peut être utile ; mais ici, il ne s’agit que d’une attestation du système, et il n’y a aucun moyen de savoir si elle pourra arrêter les acteurs malveillants, ni si elle sera mal comprise et mal utilisée comme d’autres systèmes, tels que CORS
      La conclusion logique de ce système devient : « si vous avez un système normal, vous êtes un utilisateur normal ; sinon, vous ne l’êtes pas »
  • Je comprends plus ou moins les deux positions
    Si l’on prête de bonnes intentions aux autres, un Web peuplé d’humains identifiés et de leurs mandataires approuvés est peut-être l’espace Web idéal le plus « propre » que l’on puisse imaginer
    Un Web rempli de faux comptes et de fermes de liens n’est pas idéal
    Le point d’arrivée le plus évident de cette tendance, ce sont les identités numériques délivrées par l’État, qui prouvent l’identité et servent aussi à se connecter
    En plissant les yeux, on peut voir cela comme un tremplin vers cet objectif
    Est-ce la concrétisation de l’idéalisme des années 70 ? Non. Mais j’y vois un compromis raisonnable dans une certaine mesure
    Et si l’on ne peut pas faire confiance au gouvernement ? C’est probablement un problème qu’aucun Internet ne peut résoudre. C’est un problème du monde réel

    • Tout dépend de la définition de « idéal » et de la question de savoir si l’on veut poursuivre un tel idéal
      Pour moi, cela ressemble plutôt à un Web stérilisé
      Même en supposant, en mettant momentanément de côté le fait que les humains finiront par trouver des moyens de contourner ce système aussi, que cela devienne l’espace Web le plus « propre », cela revient à présupposer que les consommateurs le veulent
      Dans le monde des apps natives, il existe déjà l’App Store, des contrôles de verrouillage et une identité des apps, et pourtant le Web domine toujours le commerce ; avec des exemples comme Figma, il semble même se renforcer
      Alors où sont les appels en faveur de ce Web « purifié » ? Du moins côté consommateurs, la demande ne ressemble absolument pas à cela
    • Contrairement à l’expression « humains identifiés et leurs mandataires approuvés », la proposition WEI et la fonctionnalité d’Apple s’efforcent plutôt de ne pas permettre l’identification de vrais humains, et toutes deux se concentrent sur la preuve que l’appareil est intègre
    • Dans tous les cas, il n’est pas nécessaire de prêter de bonnes intentions aux entreprises
    • Personne ne demande pourquoi tout cela est devenu « nécessaire », alors que c’est en réalité la question centrale
      Pourquoi une preuve d’identité aussi absurdement forte serait-elle nécessaire ? Si elle l’était vraiment, comment Internet a-t-il pu fonctionner jusqu’ici ?
      Or, en pratique, personne ne propose actuellement une telle chose. Les approches d’Apple comme de Google n’en sont même pas proches. Ce qu’ils disent vouloir faire, c’est garantir « l’intégrité » de la plateforme
      Quelle intégrité, exactement ? Dans l’exemple, il s’agit de montrer que l’utilisateur exécute un client Web sur un appareil Android sûr
      Autrement dit, cela ne dit pas si l’utilisateur est une personne unique, et ne fournit pas non plus d’identifiant exploitable sur la personne. Dans cet exemple comme dans le cas d’Apple, tout ce que cela indique, c’est que l’appareil n’est ni rooté ni jailbreaké
      En réalité, ce concept n’est utile que comme partie d’un jeu du chat et de la souris plus vaste. Comme pour la protection du droit d’auteur, l’attestation à distance est limitée par ce qu’elle prouve réellement
      Il est difficile d’empêcher les enregistrements au caméscope dans les salles de cinéma ; et, de même qu’il existe de nombreuses étapes intermédiaires exploitant le fait qu’un film n’est qu’une succession d’images et de trames d’échantillons PCM, même si les appareils coûtent cher, on ne peut pas empêcher quelqu’un d’en obtenir plusieurs et de travailler avec
      Beaucoup de gens possèdent déjà des tas d’appareils Android pour tromper les systèmes, et dans certains cas on peut en acheter un pour 50 dollars, donc ce n’est pas une barrière significative
      Au final, cela ne fait qu’augmenter le coût et la complexité de l’exploitation de bots, et si l’on relève suffisamment le seuil de rentabilité, on peut en théorie dire qu’on a gagné. Mais comme les gains potentiels du spam et de l’arnaque sont trop élevés, cela n’arrivera pas
      Malgré des années de contre-mesures, on n’en est toujours même pas proche, et l’argent qui circule dans l’industrie chargée de tromper ce genre de systèmes suffit largement à absorber ces coûts
      Mélanger des identités gouvernementales n’y changera rien. Il y a de vraies personnes derrière presque toutes les opérations de spam ; ainsi, même si l’on obtient une preuve aveugle que quelqu’un est citoyen, on sait très peu de choses sur cette personne
      Pour que cela aide, il faudrait recevoir non pas une preuve que la cible est légitime, mais un identifiant unique réel pour chaque personne
      Et si c’est cela le point d’arrivée d’Internet, franchement, toute cette expérience n’en valait pas la peine
    • Il n’y a absolument aucun moyen d’empêcher une ferme de trolls d’acheter à bas prix des dizaines de PC de confiance et de faire tourner des tonnes d’automatisation via le partage d’écran
      On peut aussi brancher une fausse souris ou un faux clavier pour fournir directement les entrées
      Le matériel de sécurité ne semble offrir aucun avantage. Pour les personnes qui diffusent de la désinformation à une certaine échelle, ce n’est même pas un ralentisseur
      Cela ne fera que gêner légèrement les acteurs malveillants très peu sophistiqués ou occasionnels, tout en limitant fortement les personnes capables de créer un navigateur et celles qui utilisent des appareils non fiables, comme les utilisateurs de Linux ou ceux qui désactivent Trusted Boot
  • Je ne sais pas si vous vous souvenez d’AllAdvantage
    C’était un service, vers le tournant du siècle, qui affichait des publicités sur le bureau et rémunérait les utilisateurs, mais seulement lorsque le PC était effectivement en cours d’utilisation
    Les gens le trompaient avec des dispositifs qui bougeaient la souris, et une petite course aux armements s’est engagée
    Cette technologie serait pour eux un rêve. On pourrait savoir si une requête vient d’un vrai navigateur ou d’un script, et désactiver l’attestation si l’entrée est simulée par un pilote non fiable ou si le navigateur est automatisé
    C’est une technologie vraiment déplaisante

    • Aujourd’hui déjà, les sites Web peuvent savoir si une requête vient ou non d’un vrai navigateur en s’intégrant à reCAPTCHA ou hCAPTCHA
      Cela revient plutôt à intégrer étroitement au navigateur lui-même une catégorie très populaire de produits de sécurité
      Aujourd’hui, on peut adopter une position philosophique et refuser tous les sites Web qui utilisent reCAPTCHA/hCAPTCHA ; demain, on pourra refuser tous les sites Web qui utilisent PAT