Lors de sa récente semaine d’anniversaire, Cloudflare a introduit les identifiants éphémèresune nouvelle fonctionnalité de détection des fraudes. L’outil identifie les activités frauduleuses, qu’elles proviennent de robots ou d’humains, en associant le comportement à un client spécifique plutôt qu’à une adresse IP.

Disponible via le tourniquet vérifier le site En réponse, cette nouvelle technologie d’identification est conçue pour résoudre le problème courant des attaquants qui alternent un large éventail d’adresses IP pour échapper aux techniques de surveillance standard du WAF. Étant donné que les identifiants éphémères sont générés sur la base de modèles allant au-delà des adresses IP, les acteurs malveillants ont plus de mal à dissimuler complètement leurs demandes. Olivier Payneresponsable de l’ingénierie chez Cloudflare, Sally Leechef de produit chez Cloudflare, et Benoît Woltersingénieur logiciel senior chez Cloudflare, explique :

Un cas d’utilisation pratique des identifiants éphémères consiste à empêcher les inscriptions frauduleuses à des comptes. Imaginez un mauvais acteur, une vraie personne utilisant un vrai appareil, créant des centaines de faux comptes tout en alternant les adresses IP pour éviter d’être détecté. En ingérant des identifiants éphémères et en les enregistrant avec vos journaux de création de compte, vous pouvez configurer des alertes basées sur les seuils de création de compte en temps réel ou enquêter rétroactivement sur les activités suspectes.

Une adresse IP (verte) versus un identifiant éphémère (bleu). Source : blog Cloudflare

Introduit il y a deux ans, Tourniquet est un outil de vérification conçu pour remplacer les CAPTCHA en générant divers types de défis non intrusifs pour vérifier que les utilisateurs sont humains, sans obliger les visiteurs à résoudre un casse-tête. Une fois les identifiants éphémères activés pour un déploiement, une requête curl adressée à Turnstile montre comment un identifiant éphémère temporaire est renvoyé pour identifier le client :

curl 'https://challenges.cloudflare.com/turnstile/v0/siteverify' --data 'secret=verysecret&response= ' { "success": true, "error-codes": [], "challenge_ts": "2024-09-10T17:29:00.463Z", "hostname": "example.com", "metadata": { "ephemeral_id": "x:9f78e0ed210960d7693b167e" } }

Source : blog Cloudflare

Alors que la nouvelle option suit différentes demandes au fil du temps, Cloudflare met l’accent sur les protections de confidentialité et de conformité en place : lorsqu’un visiteur interagit avec différents clients Cloudflare, il reçoit des identifiants éphémères différents pour chacun. De plus, comme ces identifiants changent fréquemment, ils ne peuvent pas être utilisés pour suivre un seul visiteur sur une période prolongée. Utilisateur Techcycleev commentaires sur X :

Je suis impressionné par l’approche innovante adoptée par Cloudflare avec les identifiants éphémères. En tant que concepteur UX, j’apprécie l’accent mis sur la confidentialité des utilisateurs tout en maintenant une détection efficace des fraudes. Cela change la donne pour les interactions en ligne sécurisées.

Payne, Lee et Wolters ajoutent :

Même si les identifiants éphémères sont de courte durée et peuvent avoir changé au moment où une enquête commence, ils fournissent toujours des informations précieuses grâce à une analyse globale et fournissent une dimension supplémentaire pour identifier les fraudes et les abus.

Les identifiants éphémères n’étaient pas la seule annonce lors de la semaine d’anniversaire de Cloudflare, avec 18 mises à jour de la plateforme Workerslatence nulle Stockage SQLite dans chaque objet durableet un plateforme d’IA plus rapide d’autres mises à jour majeures.

Bien que chaque déploiement Cloudflare bénéficie de l’ajout d’identifiants éphémères à la Challenge Platform, la nouvelle option est actuellement disponible via Turnstile. vérifier le site réponse uniquement pour les clients Turnstile Enterprise et Bot Management Enterprise.