Vous avez forcĂ©ment vĂ©cu cette scĂšneâŠ
Vous voulez finaliser un achat ou vous connecter Ă un service et on vous devez cliquer sur des feux de signalisation, des passages piĂ©tons, des vĂ©los ou des bouches dâincendie dans des images floues voir retaper des chiffres et des lettres illisibles. đĄđĄđĄ
Câest complĂštement frustrant et pĂ©nible mais aujourdâhui, câest surtout de moins en moins pertinent.
Pourquoi ? Parce que les robots modernes, surtout ceux pilotĂ©s par lâIA, rĂ©solvent ces tests mieux que certains humains. đ
Demain, ce ne sera plus seulement vous, mais aussi votre assistant IA, votre agent de recherche, votre outil dâachat automatisĂ© ou votre systĂšme de veille, qui naviguerez sur le web.
Du coup, comment distinguer un utilisateur lĂ©gitime sans bloquer tout le monde et ransformer Internet en parcours dâobstacles ?
Le CAPTCHA arrive en bout de course
Le CAPTCHA avait une idĂ©e simple : demander Ă lâutilisateur de faire quelque chose quâun robot ne sait pas faire facilement et cela a fonctionnĂ©âŠÂ ?
Mais des problĂšmes subsistent : LâexpĂ©rience utilisateur est dĂ©gradĂ©e au fil des des vĂ©rifications et les visiteurs abandonnent le parcours surtout lâe-commerce oĂč chaque friction coĂ»te des ventes.
Aujourdâhui, les robots progressent, rendant les anciennes barriĂšres beaucoup moins efficaces.
En deux mots, le CAPTCHA nous embĂȘte, alors que les meilleurs robots le contourne.
PACT : lâidĂ©e du jeton anonyme
Cloudflare, avec Mozilla, Google, Microsoft et Shopify, travaille sur un protocole appelé PACT, pour Private Access Control Tokens.
LâidĂ©e est celle-ci : au lieu de sans cesse de prouver que nous sommes humains, certains services oĂč nous serions dĂ©jĂ reconnu pourraient dĂ©livrer un jeton anonyme.
Votre navigateur conserverait ce jeton.
Ensuite, lorsque vous arrivez sur un autre site, ce site pourrait recevoir une preuve technique indiquant quâun humain est probablement derriĂšre la session, sans connaĂźtre votre identitĂ©.
En principe :
- le site qui reçoit le jeton ne sait pas qui vous ĂȘtes ;
- le service qui a Ă©mis le jeton ne sait pas oĂč vous lâutilisez ;
- le navigateur joue un rĂŽle central ;
- lâobjectif est de rĂ©duire les CAPTCHA et les vĂ©rifications intrusives.
Ce nâest donc pas une carte dâidentitĂ© numĂ©rique classique mais plutĂŽt un mĂ©canisme de confiance : le site ne vous connaĂźt pas personnellement, mais il reçoit un signal indiquant que votre trafic semble lĂ©gitime.
Ce que cela change concrĂštement
Pour lâutilisateur, le bĂ©nĂ©fice est Ă©vident.
Moins de cases Ă cocher, dâimages Ă identifier, de blocages absurdes lorsque lâon utilise un VPN, un rĂ©seau partagĂ© ou une configuration un peu atypique.
Les sites web, quant à eux, pourraient continuer à lutter contre les abus automatisés, les faux comptes, le scraping agressif, les fraudes ou les attaques, sans imposer autant de friction aux visiteurs légitimes.
Pour les plateformes e-commerce, ou chaque Ă©tape inutile peut faire perdre un client, câest un sujet majeur. Si un protocole permet de mieux distinguer les vrais acheteurs des robots malveillants, sans ralentir le parcours, cela devient stratĂ©giquement prioritaire.
Le vrai sujet : le web des agents IA
Ce dĂ©bat dĂ©passe les CAPTCHA et annonce lâarrivĂ©e dâun web oĂč une partie du trafic ne viendra plus directement des humains, mais dâagents IA agissant pour eux.
Comme nous le savons, ou en tout cas le prĂ©sageons, un assistant pourra rechercher un produit, comparer des offres, remplir un formulaire, rĂ©server un service, surveiller une page, prĂ©parer une transaction (Câest dĂ©jĂ le cas et nous n'en voyons qu'un aperçu aujourdâhui).
Dans ce contexte, bloquer automatiquement tout ce qui ressemble Ă un robot nâa plus beaucoup de sens. Certains robots seront malveillants mais certains agents seront utiles, autorisĂ©s et dĂ©clenchĂ©s par un vrai utilisateur.
Distinguer le mauvais automatisme du bon automatisme est le nouveau dĂ©fi Ă rĂ©aliser et câest ce que Ă quoi PACT cherche Ă rĂ©pondre.
Le point de vigilance : qui contrĂŽle lâaccĂšs au web ?
LâidĂ©e est intĂ©ressante, mais elle pose aussi une vraie question de gouvernance.
Qui pourra émettre ces jetons ?Quels services seront considérés comme fiables ?Que se passera-t-il pour les utilisateurs de navigateurs alternatifs ?Et pour ceux qui utilisent Tor, des VPN ou des systÚmes plus atypiques ?
Si les grands acteurs du web deviennent les gardiens invisibles de la lĂ©gitimitĂ© numĂ©rique, le confort utilisateur pourrait sâamĂ©liorer, mais au prix dâune nouvelle dĂ©pendance.
Câest un point que lâEurope (et nous-mĂȘme) devrait regarder de prĂšs.
Nous avons dĂ©jĂ une forte dĂ©pendance aux infrastructures numĂ©riques amĂ©ricaines. Si lâaccĂšs fluide au web repose demain sur des mĂ©canismes contrĂŽlĂ©s par quelques grandes plateformes, le sujet devient aussi politique, Ă©conomique et stratĂ©gique.
Google avance avec une autre approche
Google développe aussi sa propre évolution autour de reCAPTCHA et de Cloud Fraud Defense.
Lâobjectif annoncĂ© est similaire : mieux gĂ©rer la fraude, les robots, les humains et les agents IA.
Mais lâapproche soulĂšve davantage de critiques, notamment lorsquâelle repose sur un dĂ©fi par QR code Ă scanner avec un tĂ©lĂ©phone « compatible ».
Pourquoi est-ce sensible ?
Parce que certains utilisateurs de tĂ©lĂ©phones Android dĂ©googlisĂ©s ou de systĂšmes alternatifs risquent dâĂȘtre exclus ou fortement pĂ©nalisĂ©s sâils ne disposent pas des services Google nĂ©cessaires.
La différence est importante.
PACT cherche Ă construire un protocole de jetons anonymes, pensĂ© pour ĂȘtre standardisĂ© et intĂ©grĂ© aux navigateurs.
Lâapproche de Google semble davantage liĂ©e Ă son propre Ă©cosystĂšme de confiance, avec le risque de renforcer la dĂ©pendance Ă ses services.
Dans les deux cas, le problĂšme de fond reste le mĂȘme : comment prouver quâun utilisateur est lĂ©gitime sans transformer cette preuve en outil de contrĂŽle ?
Il ne faut pas aller trop vite
Il serait exagéré de dire que les CAPTCHA vont disparaßtre demain.
PACT est encore une spécification en cours de développement. Il faudra du temps avant un éventuel déploiement massif. Il faudra aussi voir comment les navigateurs, les sites, les régulateurs et les utilisateurs réagiront.
Mais la direction est claire -> Le vieux modÚle du CAPTCHA arrive en fin de cycle et le web doit trouver une nouvelle maniÚre de gérer la confiance.
Ce que les entrepreneurs doivent retenir
Pour un entrepreneur, ce sujet peut sembler technique. En rĂ©alitĂ©, il ne lâest pas tant que cela.
Il touche Ă trois choses trĂšs concrĂštes :
- lâexpĂ©rience utilisateur ;
- la sécurité ;
- la dépendance aux grandes plateformes.
Si vous avez un site, une boutique en ligne, une plateforme ou un espace membre, ces évolutions auront un impact.
Moins de friction peut améliorer les conversions, mais plus de dépendance à des systÚmes de vérification externes peut aussi poser problÚme.
Comme souvent avec le numĂ©rique, la bonne question nâest pas seulement :
âEst-ce que câest pratique ?â mais âQui contrĂŽle lâinfrastructure qui rend ce cĂŽtĂ© pratique possible ?â
Conclusion
La possible disparition des CAPTCHA nâest pas seulement une bonne nouvelle pour ceux qui en ont assez de cliquer sur des passages piĂ©tons.
Câest un signal plus large, le web entre dans une nouvelle phase, oĂč humains, robots, agents IA et plateformes devront cohabiter.
La question ne sera plus simplement de savoir si vous ĂȘtes un robot mais de savoir si votre prĂ©sence, humaine ou assistĂ©e par une IA, est considĂ©rĂ©e comme lĂ©gitime.
Et cela, pour lâavenir dâInternet, est un sujet beaucoup plus important quâune simple case Ă cocher.