Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierKorben

Google veut scanner votre main pour prouver que vous êtes humain

Par : Korben ✨
2 juillet 2026 à 19:01

Google en a marre que les IA passent ses CAPTCHA les doigts dans le nez, alors sa nouvelle idée de génie à la con pour vérifier que vous êtes bien humain, ça va bientôt être de vous faire agiter la main devant votre webcam.

"Hé COUCOU le CAPTCHA !"

Vous autorisez la caméra, vous faites un petit geste la paume grande ouverte, et Google extrait de la vidéo ce qui s'appelle des hand landmark data, soit 21 points de repère sur les articulations de vos doigts. En gros c'est la carte de votre paluche, branchée sur Google Cloud Fraud Defense, leur brique anti-fraude maison.

Mais alors pourquoi vos grosses mains pleines de poils ?? Seraient-ils fétichistes ?

Hé bien parce que tout d'abord, les CAPTCHA visuels type "cliquez sur les feux de circulation" sont devenus une vraie formalité pour les agents IA qui les résolvent à tous les coups .

Sauf que vous vous en doutez, les humains sont malins comme des singes et ont déjà réussi à bernet le machin avec une simple photo de banque d'images brandie devant la webcam. Ça la fout mal hein ?

En plus, comme les anciens captchas restent dispo pour tous les gens qui n'ont pas de bras ou qui ne peuvent pas bouger, hé bien c'est toujours contournable comme avant. Je me demande vraiment à quoi tout ça rime, soit quelque chose m'échappe, soit c'est stupide... Breeeef.

Côté vie privée, Google jure sur la tête de ses morts que toutes les vidéos et les photos prises par le CAPTCHA sont supprimées une fois le défi relevé, qu'aucun son n'est enregistré et que rien n'est associé à votre identité mais peu importe ce qu'ils nous baragouinent, on n'a aucun moyen de le vérifier de toute façon.

Puis que ce soit votre main, votre visage ou vos fesses, prendre 21 points de mesure sur votre anatomie, ça reste de la biométrie quand même. Rien qu'avec ça, vous pouvez identifier une personne avec 99% de précision... Donc n'allez pas me dire qu'ils n'ont pas autre chose en tête avec cette connerie.

Et je vous parle pas du fait que la caméra chope tout ce qu'il y a autour de vous, votre tête bien sûr, mais aussi vos papiers qui trainent sur le bureau, ce qu'il y a sur un écran, vos bouquins dans l'armoire, la tête de vos gosses dans un cadre et que sais-je encore. C'est beaucoup trop d'infos perso récupérées juste pour pouvoir être identifié comme un humain, je trouve.

Quoiqu'il en soit, si montrer patte blanche à Google vous refroidit, y'a des alternatives comme ALTCHA ne balancent pas vos données à Mountain View, que les sites peuvent mettre en place.

Mais ça va être à vous de faire votre propre lobbying pour que les sites les adoptent.

Source : Tom's Hardware

PACT - Le token Cloudflare qui veut remplacer les CAPTCHA

Par : Korben ✨
24 juin 2026 à 16:04

Je viens d'apprendre que Cloudflare s'était associé à Chrome, Firefox et Edge pour régler un truc qui nous pourrit tous la vie sans que nous y pensions vraiment, à savoir prouver qu'on est des humains.

Leur projet s'appelle PACT pour Private Access Control Tokens, et l'idée c'est de remplacer les affreux CAPTCHA par un titi jeton cryptographique anonyme que votre browser baladera de sites en sites.

Alors comment ça fonctionne cette nouvelle connerie ?

Hé bien un site qui a déjà une bonne raison de vous croire humain, genre un service où vous avez un compte, émet un token anonyme. Votre navigateur le conserve, et quand vous débarquez ailleurs, il le présente comme une preuve que vous n'êtes ni un robot, ni un alien, ni un pervers narcissique manipulateur.

Comme vous avez passé le test une fois, vous n'avez donc plus à recliquer sur des feux tricolores et des passages piétons aux quatre coins du web... Et comme le token ne contient aucune donnée perso, le site qui le reçoit ne sait pas d'où il sort.

Derrière PACT, rien de sorcier niveau techno, c'est juste du Privacy Pass, l'architecture que l'IETF a posée noir sur blanc en 2024 avec les RFC 9576 à 9578 . Apple fait déjà exactement ça depuis 2022 avec ses Private Access Tokens planqués dans iOS 16 et macOS Ventura, et Cloudflare est même l'un de leurs émetteurs en production. Mais PACT, c'est la version next-gen de ce truc. Au lieu d'attester juste "cet appareil est un vrai iPhone", on atteste "il y a un humain dans la boucle". Les signatures RSA aveugles font que l'attesteur ne sait pas quel site vous visitez, et que le site, lui, ne sait pas qui vous êtes.

C'est plutôt une bonne idée, je trouve. Sauf que cette histoire de "personne", ça inclut aussi les bots autorisés. Genre votre agent IA qui réserve un billet de train ou fait vos courses pendant que vous dormez. Cloudflare veut également leur filer des tokens à eux aussi, pour les démarquer des crawlers sauvages qui pompent le web à l'aspirateur de chantier.

Et ça tombe bien, parce qu'aujourd'hui plus de la moitié du trafic web mondial, c'est déjà des bots.

Maintenant, le truc qui me chiffonne avec PACT c'est que ça crée mécaniquement un web à deux vitesses. D'un côté le trafic on aura le trafic "de confiance" avec son joli token, de l'autre tout le reste, traité comme suspect par défaut. Donc si vous surfez avec Tor, un navigateur exotique ou une config un peu trop cheloue, et que personne ne veut vous émettre de jeton parce que vous êtes un haxxor intransigeant avec sa vie privée, vous devenez un citoyen de seconde zone du web. Sans compter que ce serait ENCORE Cloudflare, déjà videur d'une énorme part d'Internet, qui se retrouvera à arbitrer qui mérite son laissez-passer.

Et puis ça ne règle pas le pistage. Le fingerprinting, votre IP, les mille autres signaux que votre navigateur balance dans la nature restent en place. PACT vire juste le CAPTCHA, mais pas la surveillance. Mozilla jure sur la tête de sa mère que sa participation sert justement à garder ce système ouvert, et j'avoue que je suis content qu'ils soient dans la même pièce que les autres filous, qui pourraient en profiter pour réécrire la norme entre eux. Maintenant, si ce qui reste de votre vie privée déjà bien publique avec toutes nos données perso qui ont fuitée, vous tient encore à cœur, un petit navigateur blindé comme LibreWolf ou un CAPTCHA qui ne vend pas vos clics tel que ALTCHA restent des choix plus sérieux que d'attendre un jeton de bonne conduite.

Voilà... Pour l'instant PACT n'est qu'un projet, sans date de sortie ni même de lieu de standardisation confirmé, et même si l'idée de virer les CAPTCHA est hyper séduisante, reste encore à savoir qui tiendra les clés du laissez-passer...

Source

❌
❌