Edito: "Le système d’authentification par cryptogramme : un vrai problème d’accessibilité."
Quel est le problème ?
Depuis plusieurs mois, nous voyons apparaître sur le web un nouveau système d’authentification ou d’identification réputé plus sécurisé contre les robots et autres logiciels de spaming : les CAPTCHA (Completely Automated Public Turing test to Tell Computers and Humans Apart), ce qui signifie en français : test public entièrement automatisé pour séparer l’homme de la machine (mis au point par Monsieur Turing). Ce système consiste à demander à l’utilisateur final de saisir lui-même un code alphanumérique affiché dans une petite image afin de s’assurer que l’opérateur n’est pas un logiciel intrusif ou un calculateur mais bien une personne. Ainsi, nous dit-on, les automates et autres programmes plus ou moins mal intentionnés sont incapables de se substituer à un opérateur humain et de polluer inutilement les serveurs.
Ce procédé par cryptogramme a surtout séduit les sites de banque en ligne ou les prestataires intermédiaires de paiement en ligne comme Paypal ou Atos, et les portails proposant divers services pour lesquels une inscription préalable est nécessaire, à l’exemple de Hotmail ou Yahoo!.
La BNP Paribas et la Société Générale l’ont récemment adopté, à la grande stupéfaction de leurs clients déficients visuels (malvoyants et personnes aveugles) pour qui les opérations de banque en ligne sont un facteur d’autonomie. Plusieurs sites marchands se sont également laissés tenter. Ils en font un argument commercial de première importance comme le montre la page de ooshop (le site de courses en ligne de Carrefour) vis-à-vis de leurs visiteurs potentiels pour qui l’insécurité demeure un frein à l’acte d’achat via Internet.
Or, chacun comprend que tout utilisateur souffrant d’un handicap visuel se trouvera dans l’impossibilité de s’identifier auprès du serveur par ce système puisqu’il ne voit pas ou mal l’image. De même, une personne dyslexique éprouvera de grandes difficultés à reproduire exactement une longue série de caractères alphanumériques dénuée de sens sémantique. Ce qui exclut d’emblée ces catégories d’utilisateurs de multiples services auxquels ils devraient utilement avoir accès.
En clair, ce système d’authentification ne sépare pas l’homme de la machine, mais les personnes handicapées des personnes valides.
Des solutions alternatives existent
Malgré l’inquiétude grandissante que suscite le succès de ce dispositif, exprimée notamment par les personnes aveugles, nous pouvons ici mentionner quelques solutions alternatives qui doivent être explorées sérieusement par les acteurs de l’accessibilité numérique et les personnes en charge de la sécurité réseau au sein des entreprises.
Il existe de nombreuses techniques permettant d’éliminer les créations frauduleuses de comptes ou leur usage. Certaines d’entre elles sont au moins aussi efficaces que celle de la vérification visuelle, et surtout plus accessible aux personnes souffrant d’un handicap. D’autres doivent être considérées comme une accommodation, si l’on se place dans une optique d’accessibilité totale.
Sans entrer dans le détail technique, citons, par exemple :
Le puzzle logique : puisque le but de la vérification visuelle (CAPTCHA) est de séparer l’homme de la machine, on peut imaginer de demander à l’utilisateur de résoudre un problème de logique simple et rédigé sous forme de texte.
Le rendu sonore : à l’instar de ce que propose Hotmail, il est possible de faire épeler la chaîne de caractères apparaissant dans l’image, par une voix de synthèse. Ainsi, les personnes aveugles ou malvoyantes sont en mesure de la reproduire.
La validation par la carte de crédit : le numéro de carte bancaire constitue, par sa conception même, un identifiant unique.
Un opérateur humain prenant en charge la demande : ici se pose naturellement la question du coût, du point de vue du prestataire, et de la perte d’autonomie, du point de vue de l’utilisateur. C’est pourtant la solution proposée par www.yahoo.com.
Le compte à usage limité : rares sont les utilisateurs qui ont besoin de l’intégralité des ressources d’un site. La limitation peut donc s’appliquer en termes de ressources et/ou de période de disponibilité.
Le contrôle par déduction (heuristic checks) : il est relativement aisé de vérifier que l’utilisateur est en réalité un robot, ne serait-ce que par la quantité d’information et le flux des requêtes envoyées au serveur.
Un système d’identification centralisé : aux Etats-Unis, Microsoft et la Liberty Alliance réfléchissent à la mise en place d’un système d’identification centralisé auquel les utilisateurs pourraient fournir des données permettant de l’identifier et ses préférences d’utilisation qui seraient ensuite réutilisables sur tous les sites adhérant à ce système.
Conclusion
Qu’il s’agisse d’un effet de mode ou d’un standard en voie de s’imposer, nous devons dès à présent être vigilants et interpeller les responsables de sites sur la discrimination de facto qu’engendre le principe d’identification/authentification par cryptogramme. C’est également aux utilisateurs, et néanmoins clients, eux-mêmes, de réagir auprès de leur banque et de leurs prestataires Internet pour leur faire prendre conscience du problème. Des solutions alternatives existent, certaines sont déjà en place et méritent d’être étudiées de près.
Note de l'auteur: si vous voulez donner votre avis sur cet édito, vous pouvez le faire sur Retour Sommaire.
Agenda.
21 juillet 2005: Le projet ADELA a comme objectif de participer au développement d'une e-administration accessible à toutes les personnes handicapées. Dans cette optique, ADELA a lancé au printemps 2005 un questionnaire en ligne auprès des personnes handicapées sur le thème "les personnes handicapées et Internet: réalités et besoins". L’objet était de déterminer la réalité en France et en Belgique des personnes handicapées face à Internet et à ses services, et en particulier à propos des services administratifs en ligne. Les résultats du questionnaire sont à présent disponibles. Télécharger le rapport de synthèse des résultats du questionnaire 1 du projet ADELA (word, 191.0 Kb).
25 juillet 2005:OpenWeb publie régulièrement des dossiers sur le thème de l'accessibilité numérique. La publication en ligne d'un article sur les bénéfices de l'accessibilité numérique (au-delà de la problématique : obligation législative ou pas) devrait finir de motiver les plus indécis.
1er septembre 2005: L'ADAE (Agence pour le Développement de l'Administration Electronique) organise une réunion le 1er septembre 2005. Les résultats de son appel à commentaires sur l'accessibilité numérique devraient y être présentés. Contact: Pascal SOUHARD.
21 novembre 2005: Le Service de la Formation Permanente de l'université Paris VI (Pierre et Marie Curie) propose en 2005 - en collaboration avec l'association BrailleNet - le premier Diplôme d'Université (DU) sur l'accessibilité du Web : "Accessibilité du Web pour les personnes handicapées: enjeux, normes et application". Ce Diplôme d'Université s'adresse aux responsables de projets Internet, chefs de projet multimédia, responsables informatiques, développeurs, intégrateurs HTML, ergonomes, graphistes Web et webmasters. La première session de la formation aura lieu du 21 au 26 novembre 2005 et du 12 au 13 janvier 2006. Contact email: gilles.chagnon@upmc.fr
L'obligation d'accessibilité pour les sites Web publics est inscrite dans la loi française [11 février 2005, loi n° 2005-102 (article 47), Journal Officiel n° 36 du 12 février 2005 (page 2353)]. L'article 3 de la loi du 21 juin 2004 sur la confiance dans l'économie numérique vient compléter cette obligation par celle concernant "l'accès et l'usage des nouvelles technologies de l'information" pour les "agents et personnels handicapés" de "L'Etat, les collectivités territoriales, les établissements publics et les personnes privées chargées d'une mission de service public".
L'ADAE doit publier d'ici au 1er septembre les résultats de son appel à commentaires sur l'accessibilité numérique et doit confirmer (ou pas ?) son intention de proposer un décret créant une période d'expérimentation pour l'accessibilité des sites Web du secteur public (ce qui ne correspond d'ailleurs pas à l'esprit de la loi). Pour plus d'informations, lire l'edito sur accessibilité et décret.
AccessiWeb a lancé le 7 avril 2005 une liste de diffussion "Accessibilité Numérique" créant ainsi un espace de discussion sur tous les enjeux de l'accessibilité numérique aux personnes handicapées. Les discussions récentes portaient sur le lancement d'un manifeste pour l'accessibilité des sites Web du secteur public.
Les experts du Groupe de Travail AccessiWeb ont accueilli de nouveaux membres suite aux formations des mois d'avril, mai et juin. Aujourd'hui, le GTA réuni 85 experts de 57 organismes différents. La prochaine formation a lieu au mois de septembre (7, 8, 9, 28, 29 septembre 2005). Contact formation: formations@accessiweb.org
L'association BrailleNet a organisé le second séminaire AccessiWeb technique le 20 juin 2005 à la Cité des Sciences et de l'Industrie de la Villette. Ce séminaire a réuni 35 membres du GTA. Les ateliers ont traité des thèmes de l'accessibilité et la video, le flash et les documents pdf. Consulter les présentations du séminaire AccessiWeb (20/06/05).
La société partenaire de la Newsletter AccessiWeb:
Newsletter
La Newsletter AccessiWeb ouvre ses pages aux contributions de toutes les personnes qui veulent partager ouvertement une information sur l'accessibilité numérique. Un article à nous soumettre ? Une information à partager ? Un événement susceptible d'intéresser les internautes ? Une réaction à un article de la Newsletter ? Ecrivez-nous à newsletter@accessiweb.org.
