Un développeur a présenté sur une plateforme de partage technique un projet de limitation de débit pondéré par le respect, destiné à protéger les sites web ouverts contre les abus sans recourir aux traditionnels captcha ou systèmes d'authentification lourds. Nommé continuity-auth, cet outil vise à résoudre un problème identifié comme central dans la cybersécurité actuelle : l'absence d'une identité fiable pour distinguer les agents automatisés des humains légitimes.
Un constat sur les limites des systèmes actuels
Selon l'auteur du projet, les méthodes traditionnelles de gestion d'accès ouvert, comme les captcha ou les systèmes dits « anubis », pénalisent les utilisateurs humains tout en étant rapidement dépassées par les agents logiciels capables de les contourner. Par ailleurs, ces approches passent mal à l'échelle lorsque la valeur du site augmente, devenant soit inefficaces soit trop coûteuses.
Une approche par la preuve de continuité et la limitation dans le temps
Continuity-auth repose sur un principe original : utiliser la preuve de continuité d'un appareil (device-continuity proof) comme signal de confiance, et le temps comme ressource fondamentale. Concrètement, le système applique un limiteur de débit (rate-limiting) pondéré par le respect (respect-weighted), ce qui permet de traiter les visiteurs de manière différenciée selon leur historique de connexion, sans nécessiter de compte utilisateur ni de mot de passe.
L'objectif est de fournir une méthode élégante, sans confiance préalable (zero-trust), sans authentification, et qui accepte comme clients de première classe à la fois les navigateurs web et les interfaces en ligne de commande (CLI).
Une implémentation technique en Clojure/Script
Le projet a été développé avec les technologies Clojure/Script, Babashka et Datalevin. Il est présenté comme un travail en cours (work in progress) et son code source est accessible sur la plateforme GitHub, invitant la communauté à l'essayer et à en discuter.
Implications et perspectives
Si ce type d'approche se concrétise, il pourrait offrir une alternative aux systèmes de captcha qui sont de moins en moins efficaces face aux intelligences artificielles et qui nuisent à l'expérience utilisateur. En s'appuyant sur la continuité d'un appareil plutôt que sur une identification explicite, continuity-auth pourrait aussi réduire les frictions pour les utilisateurs légitimes tout en maintenant une barrière contre les abus automatisés. Cependant, le projet en est encore à un stade précoce et sa robustesse face à des attaques sophistiquées reste à démontrer.
