Les CAPTCHAs vivent leurs dernières années : une alliance inédite les enterre
Les robots ont officiellement dépassé les humains sur le web. Pour y remédier, Cloudflare et les trois grands navigateurs (Mozilla, Google et Microsoft) promettent la fin des CAPTCHAs. Cette solution, bien que séduisante, soulève une question cruciale : qui décidera demain qui est humain ?
Depuis vingt-cinq ans, les utilisateurs sont contraints de cocher des cases ou de repérer des feux de signalisation sur des grilles floues pour prouver qu’ils ne sont pas des robots. Cependant, cette méthode semble désormais dépassée. Cloudflare, accompagné de Mozilla, Google, Microsoft et Shopify, a présenté PACT, un protocole destiné à vérifier qu’un visiteur est bien humain (ou un robot autorisé) sans mot de passe ni casse-tête visuel, tout en garantissant la confidentialité.
Le constat à l’origine de cette initiative est frappant : les systèmes automatisés représentent désormais 58 % des requêtes web dans le monde, contre 42 % pour les humains. Cette bascule, anticipée, s’est produite avec dix-huit mois d’avance, notamment en raison des agents d’intelligence artificielle qui naviguent pour le compte d’utilisateurs via des assistants comme ChatGPT ou Gemini. Face à cette montée en puissance des bots, les défenses classiques telles que les CAPTCHAs et le pistage deviennent obsolètes.
PACT propose une alternative : un site qui connaît bien ses visiteurs leur délivre un jeton anonyme, que le navigateur peut ensuite utiliser comme preuve qu’un humain est aux commandes, sans possibilité de traçage. Bien que cette technologie ne soit pas entièrement nouvelle, elle s’étend aux navigateurs Chrome, Firefox et Edge, représentant plus des trois quarts des internautes.
Cependant, un problème majeur émerge : qui sera en me de délivrer ces jetons de « personne » ? Cette question soulève des inquiétudes quant à un potentiel web à deux vitesses. Les sites pourraient considérer le trafic sans jeton valide comme suspect, reléguant certains utilisateurs, notamment ceux utilisant des navigateurs alternatifs ou des configurations atypiques, au rang de citoyens de seconde zone. Le pouvoir d’attester de l’humanité d’un visiteur pourrait ainsi se concentrer entre les mains d’un petit nombre de grandes plateformes, notamment celles qui ont conçu le protocole.
Pour illustrer les implications de cette logique, il suffit de se pencher sur les pratiques de Google. Lors de sa conférence Cloud Next, l’entreprise a présenté Cloud Fraud Defense, une évolution de son célèbre reCAPTCHA. Ce système remplace les images à cocher par un QR code à scanner avec un smartphone, mais exige une version récente de Google Play Services, ce qui peut bloquer l’accès à des utilisateurs avec des téléphones dégooglisés. Cette situation rappelle la controverse autour du projet Web Environment Integrity, qui avait été abandonné sous la pression.
Pour l’internaute, l’avantage immédiat de PACT est clair : moins de cases à cocher et une confidentialité renforcée. Toutefois, le protocole n’est encore qu’une déclaration d’intention, sans calendrier de déploiement et avec des années de normalisation à prévoir. La véritable bataille se déroulera donc sur l’identité de ceux qui contrôleront l’accès à ces jetons.
Source : Cloudflare
