Qu’est-ce que Cloudflare Turnstile ?
Cloudflare Turnstile est un service de remplacement CAPTCHA lancé par Cloudflare en septembre 2022 et passé en disponibilité générale la même année. Contrairement aux CAPTCHA traditionnels qui exigent que les utilisateurs résolvent des énigmes visuelles, Turnstile effectue la vérification de manière invisible dans la quasi-totalité des cas, à l’aide d’une combinaison de défis non interactifs sur le navigateur, de signaux d’attestation d’appareil et du réseau global de renseignement sur les menaces de Cloudflare pour déterminer si un visiteur est humain ou robot.
Mécanisme technique
L’architecture de Turnstile repose sur trois mécanismes principaux fonctionnant en séquence.
Private Access Tokens (PAT). Sur iOS 16+, macOS Ventura+ et les navigateurs supportant l’attestation d’appareil HTTP, Turnstile peut demander une attestation cryptographique au fabricant de l’appareil (Apple, via l’infrastructure iCloud Private Relay) confirmant que la requête provient d’un véritable appareil grand public non débloqué. Ce signal seul peut suffire à émettre un jeton sans aucun défi supplémentaire.
Sondes JavaScript non interactives. Le widget Turnstile exécute des défis qui contrôlent les différences subtiles entre la manière dont un véritable moteur JavaScript gère certains calculs et la façon dont les navigateurs sans interface (Playwright, Puppeteer, Selenium) les émulent. Ce ne sont pas des énigmes visuelles — ce sont des contrôles techniques de cohérence d’environnement.
Défi managé en repli. Déclenché uniquement quand les deux premiers mécanismes sont inconcluants, il peut présenter une interaction visible minimale, sans aller jusqu’à une grille d’images.
La vérification serveur s’effectue via une requête POST vers https://challenges.cloudflare.com/turnstile/v0/siteverify avec le jeton de réponse et la clé secrète. Les jetons sont de courte durée (environ cinq minutes) et à usage unique.
Pourquoi Turnstile est plus simple à passer pour les votes humains
Pour un réseau de solveurs humains utilisant de véritables instances Chromium, Firefox et Safari sur de vrais systèmes d’exploitation et IP résidentielles, Turnstile est généralement le plus simple des grands fournisseurs CAPTCHA à passer de manière fiable, parce qu’il n’y a pas d’anomalie d’environnement JavaScript à détecter — l’environnement est authentique. Les sondes JavaScript passent proprement, l’attestation PAT fonctionne là où l’appareil le supporte. Un taux de complétion de 99,8 %+ est atteignable.
Posture de vie privée
Turnstile a été conçu en réponse à la critique selon laquelle reCAPTCHA route la télémétrie comportementale via Google. Cloudflare ne croise pas les données Turnstile avec un graphe d’identité utilisateur et ne les vend pas à des tiers. Cela en fait le choix par défaut pour de nombreux opérateurs européens et soucieux de la vie privée.
