Il y a quelques années encore, les CAPTCHA en ligne étaient une étape certes agaçante, mais incontournable de l'utilisation quotidienne d'Internet. Saisir des caractères flous, sélectionner toutes les photos contenant des feux de circulation ou choisir des images de vélos était devenu une routine pour des millions d'utilisateurs. Désormais, ce modèle pourrait bien appartenir au passé. Cloudflare, en collaboration avec les développeurs des navigateurs les plus populaires, travaille sur une technologie qui promet de transformer radicalement la manière dont les utilisateurs sont authentifiés en ligne. Un nouveau projet développé en collaboration avec Google, Mozilla et Microsoft vise à permettre aux sites web de reconnaître le trafic légitime sans avoir besoin de CAPTCHA, de connexion ou de suivi supplémentaire de l'activité des internautes.

Cloudflare a annoncé travailler sur une nouvelle norme appelée Private Access Tokens, ou PACT. Les entreprises à l'origine des navigateurs Chrome, Edge et Firefox, ainsi que Shopify, participent à ce projet. Le principe est simple : les utilisateurs ne devraient pas avoir à prouver constamment qu'ils sont humains. Au lieu d'afficher des CAPTCHA, le navigateur pourrait présenter un jeton anonyme confirmant la fiabilité du visiteur. Concrètement, cela signifie que des services ou plateformes de confiance, possédant une connaissance approfondie du comportement des utilisateurs, pourraient émettre des identifiants numériques. Ce jeton serait ensuite utilisé lors de la consultation d'autres sites web. Le service serait ainsi informé de l'authenticité du trafic, sans pour autant avoir accès à l'identité ni à l'historique d'activité de l'utilisateur.

Le développement de PACT n'est pas le fruit du hasard. D'après les données de Cloudflare, les bots représentent actuellement environ 56 % du trafic internet. Certaines semaines, cette part a même atteint 62 %. Autrement dit, les humains ne sont plus la force dominante sur le web. Le développement rapide de l'intelligence artificielle a un impact considérable sur cette situation. Les agents d'IA modernes peuvent non seulement naviguer sur les sites web, mais aussi comparer les offres, analyser le contenu, remplir des formulaires et effectuer des tâches pour le compte des utilisateurs. Les mesures de sécurité traditionnelles étaient conçues pour contrer les simples robots spammeurs ou les robots d'exploration des moteurs de recherche. Les systèmes d'automatisation actuels sont bien plus sophistiqués et de plus en plus difficiles à distinguer des humains.

« Avec la montée en puissance du trafic généré par l’IA, les outils existants sont trop généraux et complexes », a déclaré Dane Knecht, directeur technique de Cloudflare. « Cette collaboration nous permet désormais d’éliminer les obstacles liés aux protocoles de sécurité pour chaque visiteur, humain ou agent, sans compromettre la confidentialité. »

Cloudflare affirme que PACT vise à résoudre l'un des plus grands défis du web moderne : concilier sécurité et confidentialité. Actuellement, de nombreux services identifient les utilisateurs grâce à l'analyse de leur adresse IP, l'empreinte numérique de leur navigateur et le suivi comportemental avancé. Ce nouveau mécanisme a pour objectif de réduire la nécessité de collecter ces données. Le site web recevrait uniquement des informations sur la fiabilité d'un utilisateur ou d'un agent IA donné. Il ne connaîtrait ni son identité ni les services ayant précédemment délivré un tel certificat. Les créateurs du projet soulignent également que le système est conçu pour fonctionner quel que soit l'appareil, le système d'exploitation ou le navigateur spécifique utilisé.

Malgré des projets ambitieux, cette nouvelle technologie suscite également la controverse. Les principales interrogations portent sur les instances qui décideront de l'attribution des jetons et sur les entités jugées suffisamment fiables. La définition précise du processus « Know Your User » auquel Cloudflare fait référence reste également floue. Les experts soulignent que des critères imprécis pourraient limiter l'accès aux services en ligne pour certains navigateurs, applications ou plateformes moins répandues. Des questions se posent également concernant les agents d'IA agissant pour le compte des utilisateurs. Un nombre croissant d'entreprises développent des assistants intelligents capables d'effectuer des tâches en ligne de manière autonome. Le projet PACT vise à permettre à ces agents de fonctionner sans problèmes de sécurité constants, tout en veillant à ne pas ouvrir la porte à des abus. Le projet est actuellement en phase de développement et devrait faire l'objet d'un processus de normalisation. Si l'initiative aboutit, les internautes pourraient voir beaucoup moins de CAPTCHA à l'avenir.