DataDome

Qu’est-ce que Turnstile et comment cela fonctionne ?

Table des matières
Dernière mise à jour : 10 Nov, 2022
|
min

Récemment, Cloudflare a lancé une bêta ouverte d’un nouvel outil alternatif au CAPTCHA, Turnstile. Turnstile est destiné à résoudre les problèmes connus des CAPTCHA traditionnels, à savoir la mauvaise expérience utilisateur et les problèmes de confidentialité et de conflits d’intérêts avec Google (en tant que principal fournisseur de CAPTCHA).

Turnstile vérifie le comportement des bots en choisissant parmi une suite de défis de navigateur basés sur le comportement et la télémétrie du client. Il peut utiliser des Private Access Tokens (PAT), analyser certaines données de session, exécuter un petit ensemble de défis JavaScript (JS) pour recueillir plus de signaux et utiliser les résultats des défis JS pour ajuster la difficulté de son défi.

En essence, c’est un CAPTCHA autonome « non-CAPTCHA » qui fonctionne en arrière-plan, un peu comme reCAPTCHA v3. (Malheureusement, le fait de s’appuyer uniquement sur un challenge CAPTCHA pour la sécurité crée plusieurs nouveaux défis, car les bots deviennent de plus en plus sophistiqués, suffisamment pour contourner facilement les outils CAPTCHA basés sur le comportement.)

En quoi Turnstile est-il meilleur qu’un CAPTCHA traditionnel ?

L’un des problèmes les plus connus de reCAPTCHA est la confidentialité des données. Un nombre excessif d’informations sur les utilisateurs, en particulier des informations personnelles identifiables (PII), sont collectées pour déterminer si un utilisateur est un humain ou un bot. Les Private Access Tokens d’Apple ont commencé à ouvrir la voie à des solutions qui minimisent la collecte de données dans le cadre du processus de sécurité. Turnstile affirme être capable d’abstraire certaines parties du processus de validation pour confirmer les données sans les stocker. En outre, Turnstile a intégré des PAT dans son produit afin de minimiser la collecte de données pour les utilisateurs des versions iOS/macOS les plus récentes.

Quelles sont les limitations de Turnstile ?

Turnstile fait face à de nombreuses limitations similaires à d’autres CAPTCHA invisibles et alternatives comme les Private Access Tokens.

Surveillance des faux positifs

Comment Turnstile gère-t-il les faux positifs ou négatifs ? Supposons qu’il arrête par erreur de vrais utilisateurs humains (ce qui peut arriver étant donné que le logiciel est basé sur l’analyse des empreintes digitales/du comportement), quelles sont les options dont dispose une personne pour pouvoir accéder au site ? Comment Turnstile ne prendrait-il pas la même décision de bloquer à nouveau le même utilisateur humain la prochaine fois qu’il essaiera d’accéder au site ?

Toute technologie CAPTCHA ou alternative nécessite une surveillance supplémentaire pour trouver les faux positifs et mettre à jour la sécurité en conséquence, le cas échéant.

Falsification d’empreintes digitales par les bots

Les bots deviennent de plus en plus habiles à falsifier leurs empreintes digitales pour tenter de tromper la sécurité basée sur les empreintes digitales. Que se passera-t-il lorsque les bots seront capables de falsifier des empreintes digitales qui paraîtront tout à fait humaines à Turnstile ? Les bots suspects se verront-ils présenter un défi CAPTCHA traditionnel ? Si c’est le cas, nous savons que les bots peuvent résoudre les défis CAPTCHA grâce aux fermes à CAPTCHA et à l’apprentissage automatique.

Comme pour le suivi des utilisateurs humains bloqués (faux positifs), tout CAPTCHA ou alternative doit être capable de gérer les faux négatifs, c’est-à-dire les robots qui réussissent les défis. Tenter de défier moins de bots présumés, ce que Turnstile prétend faire, ne doit pas se faire au détriment des bots non détectés.

Un seul point de défaillance

Turnstile et d’autres CAPTCHA invisibles sont généralement utilisés comme un seul point de protection, et donc comme un point de défaillance unique. La sécurité de votre système entier repose sur la capacité des attaquants à réussir le défi, qu’il s’agisse d’un CAPTCHA traditionnel avec interaction utilisateur, d’une preuve de travail ou d’un défi d’empreinte digitale JS.

Si les bots peuvent réussir l’analyse basée sur le comportement derrière le CAPTCHA invisible, ils seront probablement capables de réussir tous les défis posés par Turnstile également. Dès que les attaquants falsifient l’alternative CAPTCHA, votre site web, application ou API est ouvert à toutes sortes d’attaques : credential stuffing, scraping, account takeover, etc.

Quelle est la meilleure solution ?

Les CAPTCHA et les alternatives au CAPTCHA comme Turnstile et les PAT sont une partie utile d’une solution de sécurité complète, mais ne sont pas complets en eux-mêmes. Ils ne devraient jamais être votre seule protection contre les attaquants malveillants et les bots, et ils ne devraient pas exister en vase clos.

Protection contre les bots avec CAPTCHA intégré

Le CAPTCHA (et ses alternatives) fonctionne mieux lorsqu’il est associé à une protection contre les bots sophistiquée et puissante. Quand ils sont intégrés à une protection complète contre les bots, les défis CAPTCHA ne sont utilisés que dans de rares cas pour aider à vérifier les humains. Bien sûr, un défi efficace ne doit pas être facilement contourné par les bots.

La solution de protection contre les bots de DataDome, leader du secteur, inclut désormais un CAPTCHA intégré qui n’est déclenché qu’en cas extrême et élimine les bots en quelques millisecondes seulement. Le taux de faux positifs minuscule de 0,01 % signifie que 1 CAPTCHA sur 10 000 pourrait être montré à un humain, donc la plupart des utilisateurs ne verront jamais de défi, tout en étant protégés contre les bots.

Caractéristiques du DataDome CAPTCHA

Le DataDome CAPTCHA a été développé dans le but de résoudre les nombreuses limitations des CAPTCHA traditionnels. La confidentialité des utilisateurs était une préoccupation majeure, donc notre CAPTCHA ne recueille que les données absolument nécessaires, qui sont protégées selon les normes de sécurité les plus élevées et utilisées uniquement pour améliorer la détection et prévenir les futurs faux positifs. Notre CAPTCHA est conforme aux lois locales sur la confidentialité des données en Amérique du Nord, EMEA, APAC, Amérique du Sud et Afrique.

L’expérience utilisateur est également cruciale. Les défis CAPTCHA traditionnels prennent quelques secondes à charger et plus de 20 secondes à résoudre. Le DataDome CAPTCHA se charge en moins d’une seconde et est résolu en moins de trois secondes. Il est par ailleurs très bien conçu pour les malvoyants avec des défis audio en 13 langues (et plus encore).

En matière de sécurité, DataDome croit en l’exactitude sans compromis. Les modèles de détection comportementale de notre solution traitent 5 trillions de signaux par jour et identifient en temps réel les nouvelles techniques de bots – ce qui rend les fermes à CAPTCHA et les bots de résolution de CAPTCHA inutiles.

Après un programme d’accès anticipé très réussi avec nos clients, le DataDome CAPTCHA est déjà entièrement complet et disponible dans le cadre de notre solution de protection contre les bots : plus besoin de tests bêta.

Conclusion

S’il est incontestablement positif que de plus en plus de fournisseurs de sécurité accordent la priorité à la protection de la vie privée, de nombreux problèmes subsistent pour toute solution à point d’échec unique destinée à remplacer les CAPTCHA. Turnstile, bien que bon pour la vie privée, est par essence un CAPTCHA invisible, et l’utiliser comme seule protection contre les bots ne sera pas efficace. Turnstile :

  • ne peut pas vérifier et signaler adéquatement les faux positifs ;
  • peut être trompé par des bots sophistiqués qui falsifient des empreintes digitales ;
  • agit comme un point de défaillance unique dans votre sécurité en ligne.

La meilleure façon de vous protéger, vous et votre entreprise, contre les bots malveillants, tout en minimisant la frustration des utilisateurs et les problèmes de confidentialité associés aux CAPTCHA et aux alternatives similaires, est d’investir dans une solution de protection contre les bots puissante avec un CAPTCHA intégré uniquement pour les cas les plus rares.

La solution de gestion des bots DataDome, alimentée par l’apprentissage automatique, traite des centaines de signaux dans chaque demande afin de déterminer si elle provient d’un bot ou d’un humain. Parmi les nombreux signaux pris en compte, DataDome peut exploiter des signaux du premier CAPTCHA entièrement sécurisé et axé sur la confidentialité. Et parce que le DataDome CAPTCHA est intégré au moteur de détection, les faux positifs sont faciles à voir et à appliquer pour améliorer les capacités de détection des bots.

Ne laissez pas un point de défaillance unique (y compris un CAPTCHA ou tout remplacement de CAPTCHA) être la seule forme de protection contre les bots pour votre site web, application mobile ou API. Arrêtez les bots malveillants dans leur élan et laissez les humains profiter d’une expérience sans friction avec DataDome.