Apple est déterminé à révolutionner le monde du Web tel que nous le connaissons aujourd'hui. Non seulement il a depuis longtemps commencé une bataille de mots de passe et développé des technologies telles que iCloud Private Relay, Hide My Mail et Tracking Transparency, mais lors de la dernière WWDC 2022 , il a annoncé une nouvelle technologie, appelée Private Access Tokens (PAT) , dans le but de supprimer définitivement les CAPTCHA . La plupart d'entre vous ont sûrement rencontré ces images , qui annoncées par les mots "je ne suis pas un robot" servent à déterminer si une requête HTTP (accès à une page web) provient d'un utilisateur humain ou d'un bot (un genre du test de Turing simplifié). Les PAT éviteront d' abord d'avoir à parcourir une multitude d'images parmi lesquelles choisir et, d'autre part, ils seront beaucoup plus sûrs que les CAPTCHA (qui peuvent être compromis). Mais comment fonctionnent ces PAT ? Ils envoient une requête HTTP en arrière-plan via une nouvelle méthode d'authentification HTTP appelée PrivateToken , dans laquelle un serveur utilise le cryptage pour vérifier qu'un client a réussi un contrôle d'attestation iCloud.

Générer le jeton et l'envoyer au serveur fonctionne comme ceci.

- Lorsque le client a besoin d'un jeton , il contacte un certificateur, dans ce cas Apple .
- Cela exécute le processus à l'aide de certificats stockés dans l'enclave sécurisée de l'appareil. Mais pas seulement cela, il vérifie également que le client ne fait pas partie d'une ferme d'iPhone , par exemple, via un limiteur de vitesse , ce qui est très difficile à imiter pour les bots.
- Une fois le jeton signé (à usage unique) obtenu , il est envoyé au serveur selon un processus en plusieurs étapes.
- Le serveur ne sait rien de l'appareil ou de la personne qui y accède, mais fait évidemment confiance à l'attestateur et valide le jeton
- finalement, l'utilisateur est dirigé vers la page Web cible.

Évidemment, le processus se déroule automatiquement et l'utilisateur n'a rien à faire. Cloudfare et Fastly l'intègrent déjà dans leurs systèmes et les serveurs Web accessibles via Safari et WebKit fonctionneront automatiquement avec les PAT, tandis que d'autres appareils peuvent ne pas reconnaître le processus de jeton , Apple avertit donc les développeurs de s'assurer que l'authentification de l'utilisateur ne fonctionne pas bloquer la page Web principale et la présenter comme facultative. Le nouveau système sera livré avec iOS 16 ou macOS Ventura ou version ultérieure.