ProtonBlog
S'abonner par RSS

Présentation du CAPTCHA Proton

Partagez cette page

Chez Proton, nous travaillons constamment à de nouvelles méthodes innovantes pour protéger la vie privée et les données de la communauté Proton. Cela signifie parfois développer entièrement de nouveaux services, comme notre programme Proton Sentinel, qui associe l’IA et des analystes de sécurité humains pour renforcer la sécurité des comptes des utilisateurs à haut profil. D’autres fois, cela signifie reprendre une vieille idée et lui donner une nouvelle tournure, comme notre nouveau CAPTCHA personnalisé.

Dans notre article Qu’est-ce que les CAPTCHAs ?, nous avons présenté ce que sont les CAPTCHAs, comment ils fonctionnent et une feuille de route pour le développement futur afin de maintenir les CAPTCHAs à la pointe de la technologie comme première ligne de défense contre les bots et les spams sur internet.

Chez Proton, nous devons également défendre notre site internet contre les bots et les spams. Cependant, en examinant les options de CAPTCHA disponibles, nous n’étions pas satisfaits, nous avons donc décidé de développer notre propre solution. Notre objectif principal était de fournir un système qui ne compromette pas la vie privée, l’utilisabilité et l’accessibilité, ou la sécurité. Si vous placiez ces trois priorités sur un graphique, nous voulions que notre CAPTCHA soit fermement au centre.

De plus, construire notre propre solution signifiait que nous pouvions résoudre les problèmes actuels de disponibilité des CAPTCHA pour les membres de la communauté Proton dans les pays ayant des restrictions internet (par exemple, l’Iran et la Russie). En raison de nos besoins uniques, le CAPTCHA Proton est le premier CAPTCHA au monde doté de technologies résistantes à la censure intégrées.

Notre système offre les caractéristiques suivantes :

  • Conçu avec une approche respectueuse de la vie privée et entièrement conforme au RGPD
  • Adapté aux mobiles
  • Aucun service tiers
  • Prise en charge de l’acheminement alternatif, permettant l’accès à ceux dans les pays restreints
  • Défenses multiples :
    1. Preuve de travail : Défis computationnels à difficulté ajustable.
    2. Défis visuels : Plusieurs défis visuels, y compris notre défi de collision de particules inspiré du CERN.
    3. Détection de bots préservant la vie privée
  • Prise en charge pour les personnes malvoyantes

La différenciation du CAPTCHA Proton réside dans sa stratégie de défense multicouche, combinant des défis visuels à une preuve de travail computationnelle. Pourquoi les deux ? Alors que la preuve de travail computationnelle rend les attaques plus « coûteuses » pour les attaquants, cela ne les empêche pas de le faire. Cependant, les défis visuels restent efficaces pour stopper la majorité des attaques.

Une stratégie de défense multicouche

Combiner les défis visuels avec la preuve de travail computationnelle (PoW) dans les systèmes CAPTCHA crée une barrière multicouche offrant les avantages suivants :

  1. Défense en profondeur : Combiner deux types de défis différents offre une stratégie de “défense en profondeur”. Même si une couche est compromise, l’autre couche fournit toujours un niveau de sécurité.
  2. Difficulté adaptative : La difficulté de la tâche computationnelle peut être ajustée en fonction des comportements suspects. Par exemple, si un utilisateur échoue plusieurs fois à un CAPTCHA visuel, le PoW subséquent peut être rendu plus difficile, ralentissant ainsi les bots potentiels.
  3. Accessibilité améliorée : Pour les utilisateurs ayant des déficiences visuelles qui trouvent les CAPTCHAs traditionnels difficiles, la preuve de travail computationnelle offre une méthode alternative pour se vérifier tout en fournissant une protection contre les bots.

Preuve de travail

Initialiser un CAPTCHA peut être un processus serveur lourd puisqu’il nécessite de générer le défi visuel impliquant le traitement d’image. Pour protéger même ce point d’accès, nous ajoutons également la preuve de travail comme ligne de défense pour dissuader les bots qui tentent d’utiliser notre propre système de CAPTCHA contre nous.

La preuve de travail en général devient plus populaire avec mCaptcha(new window) et Friendly Captcha(new window) qui émergent dans ce domaine. Cependant, se reposer uniquement sur les défis computationnels comme stratégie de défense est risqué. Bien que ces défis soient peu intrusifs, ils dépendent fortement de l’appareil de l’utilisateur et de ses capacités (vitesse du processeur ou mémoire). Si un appareil est trop lent, l’expérience utilisateur peut être sous-optimale, car vous pourriez avoir à attendre de nombreuses secondes pour que les défis se complètent. D’autre part, des serveurs puissants utilisés par un spammeur n’auraient aucune difficulté à résoudre ces défis relativement rapidement.

Pour remédier à cela, nous avons effectué des tests approfondis sur une variété d’appareils en interne lors du développement de notre système. Cela nous a aidé à calibrer les paramètres de difficulté appropriés pour tous les types d’appareils. Si notre CAPTCHA observe un grand nombre d’échecs sur les défis visuels, il est conçu pour augmenter le niveau de difficulté du défi de preuve de travail en conséquence.

De cette manière, un botnet qui peut contourner la preuve de travail initiale mais qui a du mal avec les défis visuels sera confronté à des calculs de plus en plus complexes. Cette difficulté croissante rend le processus plus coûteux pour le botnet, mais les personnes normales pourront passer rapidement.

Défis visuels

Le CAPTCHA typique est un défi visuel (ou auditif pour les malvoyants). Avec Proton CAPTCHA, nous avons construit un système modulaire qui prend en charge plusieurs types de défis. Nous nous sommes efforcés de rendre le CAPTCHA au moins un peu plus amusant que les CAPTCHAs traditionnels et avons même créé notre propre jeu à la saveur du CERN. À l’heure actuelle, nous en avons deux :

  1. Un défi d’alignement de faisceau : Inspiré par nos origines de collision de particules au CERN(new window), le but est d’aligner deux rectangles qui représentent une ligne de faisceau (d’où les particules sont tirées) pour qu’ils puissent entrer en collision. L’animation à la fin en vaut la peine, nous vous le promettons.
  1. Un puzzle 2D intuitif : Nos puzzles sont construits dynamiquement sur le serveur en utilisant de nombreuses photographies de base, certaines de nos employés de Proton, le reste de Unsplash(new window). Cela signifie qu’il est peu probable que vous voyiez le même puzzle deux fois.

Résumé

Proton CAPTCHA a déjà été présenté à des millions d’utilisateurs au cours des derniers mois, avec 100% des CAPTCHAs d’inscription et de connexion utilisant maintenant notre solution interne.

Cependant, ce n’est que le début du voyage. Notre objectif est de fournir un CAPTCHA accessible, utilisable, préservant la confidentialité et sécurisé contre les menaces les plus avancées. En tant que tel, vous pouvez vous attendre à voir plus d’innovations dans ce domaine, l’objectif étant de réduire le fardeau du CAPTCHA pour les vrais utilisateurs tout en le rendant difficile pour les attaquants d’abuser de nos services.

Nous sommes impatients de recevoir vos retours et suggestions ! À l’avenir, nous pourrions également envisager de le rendre disponible pour des tiers qui se préoccupent de la confidentialité via une API. Pour en savoir plus, vous pouvez nous contacter à enterprise@proton.me.

Protégez votre vie privée avec Proton
Créer un compte gratuit

Articles similaires

en
Google is one of the biggest obstacles to privacy. The Big Tech giant may offer quick access to information online, but it also controls vast amounts of your personal or business data. Recently, more people are becoming aware of the actual price you
What to do if someone steals your Social Security number
en
If you’re a United States citizen or permanent resident, you have a Social Security number (SSN). This number is the linchpin of much of your existence, linked to everything from your tax records to your credit cards. Theft is a massive problem, whic
compromised passwords
en
  • Vie privée, les fondamentaux
How do passwords become compromised?
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Vie privée, les fondamentaux
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Vie privée, les fondamentaux
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
Les fuites de données sont de plus en plus courantes. Lorsque vous vous inscrivez à un service en ligne, vous fournissez des informations personnelles précieuses pour les pirates, telles que des adresses e-mail, des mots de passe, des numéros de télé