Google Cloud Fraud Defence : le retour de Web Environment Integrity

Introduction

Google a annoncé en mai 2026 le lancement de Google Cloud Fraud Defense, présenté comme l'évolution de reCAPTCHA. Ce système utilise un défi de code QR pour vérifier la présence humaine. Cependant, il s'agit en réalité d'une réimplémentation de Web Environment Integrity (WEI), un mécanisme que Google avait abandonné en 2023 après des objections de la part de standards bodies et d'organisations de défense de la vie privée.

Contexte Technique

WEI était un mécanisme qui permettait aux navigateurs de demander aux appareils de signer une attestation cryptographique pour prouver que le navigateur n'avait pas été modifié et qu'il était exécuté sur un matériel certifié par Google. Les sites web pouvaient alors vérifier la signature et décider si le contenu devait être servi sans friction ou avec un défi. Google Cloud Fraud Defense utilise un mécanisme similaire, en utilisant l'API Play Integrity pour vérifier si un appareil est certifié et non modifié.

Le système de défi de code QR nécessite que les utilisateurs scannent un code avec leur téléphone pour confirmer leur présence humaine. Cependant, ce mécanisme peut être contourné par les opérateurs de bots, qui peuvent utiliser des appareils certifiés pour passer le défi. De plus, le système peut également être exploité par des campagnes de phishing, qui peuvent utiliser des codes QR pour inciter les utilisateurs à révéler des informations sensibles.

Analyse et Implications

La mise en œuvre de Google Cloud Fraud Defense soulève des préoccupations importantes en matière de gouvernance et de confidentialité. Le mécanisme d'attestation des appareils peut être utilisé pour créer un système de contrôle d'accès basé sur le matériel, ce qui pourrait limiter l'accès à certaines ressources en ligne. De plus, le système peut également être utilisé pour collecter des données sur les utilisateurs, en créant un identifiant persistant qui peut être utilisé pour suivre les activités en ligne.

Les utilisateurs de navigateurs qui ne participent pas au système de certification de Google, tels que Firefox pour Android, peuvent être exclus de l'accès vérifié par défaut. Cela soulève des préoccupations en matière de concurrence et de choix des utilisateurs. De plus, les utilisateurs de systèmes d'exploitation alternatifs, tels que GrapheneOS ou LineageOS, peuvent également être exclus de l'accès vérifié en raison de leur choix de système d'exploitation.

Perspective

Il est important de surveiller l'évolution de Google Cloud Fraud Defense et ses implications pour la confidentialité et la gouvernance en ligne. Les utilisateurs doivent être conscients des risques potentiels liés à l'utilisation de ce système et des choix qu'ils ont pour protéger leur vie privée en ligne. Les organisations de défense de la vie privée et les standards bodies doivent également continuer à surveiller l'évolution de ce système et à défendre les intérêts des utilisateurs.

Il est également important de noter que les systèmes de défi de code QR existent déjà pour des ressources spécifiques, telles que les portails bancaires ou les services de santé. Cependant, l'extension de ces systèmes à l'ensemble du web soulève des préoccupations importantes en matière de gouvernance et de confidentialité. Il est donc important de continuer à surveiller l'évolution de ces systèmes et à défendre les intérêts des utilisateurs.