Cocher des cases pour prouver qu’on n’est pas un robot, repérer les feux de signalisation sur une grille floue : le CAPTCHA agace depuis vingt-cinq ans, et il vient de perdre la course. Cloudflare, Mozilla, Google et Microsoft, rejoints par Shopify, ont présenté PACT, un protocole censé vérifier qu’un visiteur est bien humain (ou un robot autorisé) sans mot de passe, sans casse-tête visuel et sans pistage. Sur le papier, tout le monde y gagne.
Lire aussi : reCAPTCHA : des millions d’heures perdues… et des milliards de profits cachés pour Google ?
Pourquoi maintenant ? Parce que les bots ont gagné
Le constat qui sous-tend l’initiative a de quoi donner le vertige : les systèmes automatisés représentent désormais 58 % des requêtes web dans le monde, contre 42 % pour les humains. La bascule, déjà pronostiquée, s’est produite avec dix-huit mois d’avance, accélérée par les agents d’IA qui naviguent à la place des utilisateurs pour le compte d’assistants comme ChatGPT ou Gemini. Face à cette marée, les défenses classiques (CAPTCHAs, connexions forcées, pistage) cèdent une à une. PACT propose autre chose : un site qui connaît bien ses visiteurs leur délivre un jeton anonyme, que le navigateur peut ensuite présenter ailleurs comme preuve qu’un humain est aux commandes. Le tout sans permettre de tracer la personne ni de reconstituer son historique. La technologie n’a rien d’inédit (elle prolonge Privacy Pass, déjà normalisé et utilisé par Apple), mais elle l’étend nativement à Chrome, Firefox et Edge, soit plus des trois quarts des internautes.
Alors, où est le problème ?
Il tient en une question que l’annonce élude soigneusement : qui aura le droit de délivrer ces précieux jetons de « personne » ? Car derrière la promesse de confort se dessine un web à deux vitesses. Les sites pourraient traiter le trafic dépourvu de jeton valide comme suspect, reléguant de fait les internautes sur navigateurs alternatifs, sur Tor ou sur des configurations atypiques au rang de citoyens de seconde zone. Et le pouvoir d’attester de l’humanité d’un visiteur risque de se concentrer entre les mains d’une poignée de très grandes plateformes (les mêmes qui proposent le protocole, accessoirement). Cloudflare achemine déjà une part considérable du trafic mondial et héberge de plus en plus les agents d’IA ; faire transiter par ses tuyaux la vérification de tout le web ouvert n’a rien d’un détail stratégique. Pour l’Europe, qui s’inquiète déjà de sa dépendance aux infrastructures américaines, la perspective a de quoi faire réfléchir.
Google, lui, bloque déjà les téléphones dégooglisés
Pour mesurer ce que donne la version autoritaire de cette logique, il suffit de regarder Google. Lors de sa conférence Cloud Next, le 22 avril, l’entreprise a dévoilé Cloud Fraud Defense, présenté comme l’évolution de son célèbre reCAPTCHA. Le principe : quand le système juge une connexion suspecte, fini les images à cocher, place à un QR code à scanner avec son smartphone. Sauf que l’opération exige une version récente de Google Play Services. Résultat, les téléphones dégooglisés (GrapheneOS, CalyxOS, /e/OS), justement recommandés par l’EFF et prisés des journalistes et des militants, échouent au test et peuvent se retrouver bloqués sur les sites qui activent cette vérification. Le projet GrapheneOS dénonce une pratique « anticoncurrentielle » qui revient à exiger un iPhone ou un Android certifié pour accéder à une large part du web, y compris depuis un ordinateur. Google, de son côté, défend un outil contre la fraude et les robots, déployé discrètement depuis octobre 2025. L’épisode rappelle furieusement le projet Web Environment Integrity, que l’entreprise avait dû enterrer en 2023 sous la pression. La différence avec PACT est nette : là où Cloudflare mise sur un jeton anonyme qui ne regarde pas votre matériel, Google conditionne l’accès à la présence de ses propres services. Deux visions opposées du même web sans CAPTCHA.
Pour l’internaute, le bénéfice immédiat de PACT reste réel : moins de cases à cocher, et une confidentialité garantie par la technique plutôt que par une promesse. Reste que le protocole n’est encore qu’une déclaration d’intention, sans calendrier de déploiement et avec des années de normalisation devant lui. D’ici là, la vraie bataille ne portera pas sur la disparition des CAPTCHAs, mais sur l’identité de ceux qui tiendront les clés du portail.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Cloudflare
