Fin de partie pour les CAPTCHA ? Cloudflare s’associe à Google, Mozilla, Microsoft et Shopify pour lancer PACT, un nouveau protocole internet ouvert. L’objectif ? Remplacer les feux rouges et passages piétons à cocher par des jetons de confiance anonymes gérés par votre navigateur. On vous explique comment ça marche.
Avouez-le : il n’y a rien de plus exaspérant que de devoir prouver à un site web que vous n’êtes pas un robot. Entre les images de bouches d’incendie introuvables, les passages piétons pixelisés et les cases minuscules à cocher sur l’écran de votre smartphone, le CAPTCHA est devenu le pire cauchemar de l’expérience utilisateur moderne. Conçu à l’origine pour un web de bureau, ce système est un calvaire sur mobile : il ralentit la navigation, souffre de bugs d’affichage chroniques et dévore votre bande passante.
Bonne nouvelle : ce calvaire quotidien vit ses derniers mois. Dans son annonce, le géant des infrastructures réseau Cloudflare vient d’officialiser une alliance avec les éditeurs des trois principaux navigateurs du marché (Google Chrome, Mozilla Firefox et Microsoft Edge) ainsi que la plateforme e-commerce Shopify. Leur mission ? Déployer un tout nouveau protocole internet standardisé capable de remplacer définitivement les CAPTCHA sans compromettre votre vie privée.
L’actualité de l’open source en français dans votre flux. Suivez Goodtech sur Bluesky (ou vos applications AT Protocol comme W Social et Mu) grâce à notre compte officiel. Suivez, partagez, abonnez-vous à @goodtech.info !
PACT : le jeton invisible qui sait que vous êtes humain
Ce protocole de rupture porte un nom : les Private Access Control Tokens (PACT). L’idée générale, dont les fondations techniques s’inscrivent dans les travaux du Privacy Pass Protocol de l’IETF, repose sur un mécanisme de confiance partagée et de cryptographie aveugle.
Le fonctionnement se veut totalement transparent pour l’internaute. Lorsque vous naviguez sur un site qui vous connaît bien (par exemple votre fournisseur de messagerie ou un service où vous êtes connecté), ce site émet un jeton anonyme de « personhood » (preuve d’humanité). Votre navigateur stocke ce jeton. Lorsque vous visitez un nouveau site protégé par Cloudflare, votre navigateur lui présente automatiquement ce jeton pour prouver qu’un humain est bien derrière l’écran. C’est ce que l’on appelle le « transfert masqué ».
Enfin, par conception cryptographique, les jetons sont totalement anonymes et non reliables. Le site qui émet le jeton ne sait pas où vous l’utilisez, le site qui le reçoit ne peut pas savoir qui vous êtes, et deux utilisations distinctes ne peuvent pas être croisées pour reconstituer votre historique de navigation.
Un petit schéma, pour expliquer tout ça, ne fera pas de mal !
Pourquoi l’explosion de l’IA force le Web à changer de stratégie
Si les géants du web ont enfin décidé de s’asseoir autour d’une table pour régler le problème, ce n’est pas uniquement pour soulager nos nerfs. C’est qu’internet fait face à un point de bascule : le trafic généré par les bots a officiellement dépassé le volume des requêtes humaines.
Avec l’avènement de l’IA agentique, les utilisateurs ne cliquent plus : ils délèguent des tâches complexes à des agents autonomes qui naviguent à leur place. Face à cette avalanche d’automatisation, les sites web paniquent et déploient des défenses brutales : paywalls agressifs, contrôles d’identité invasifs et CAPTCHA à répétition. Sur les plateformes de commerce comme Shopify, chaque friction de ce type se traduit immédiatement par des paniers abandonnés.
Comme le souligne le communiqué officiel de Cloudflare en français, PACT permettra de distinguer les acheteurs légitimes et les agents IA autorisés des scripts de piratage malveillants, le tout sans imposer de vérifications fastidieuses.
Un déploiement massif qui va prendre du temps
L’atout maître de cette initiative réside dans le poids de ses architectes. En réunissant Chrome, Firefox et Edge, le protocole PACT est soutenu d’emblée par des navigateurs représentant environ 77 % des parts de marché mondiales. Lorsqu’une telle coalition s’entend sur un standard ouvert, celui-ci finit par devenir la norme universelle, à l’image des clés d’accès (passkeys).
Attention toutefois aux conclusions hâtives : PACT est pour le moment une spécification technique soumise pour normalisation formelle. À l’heure actuelle, aucun code n’est publié, aucun essai d’origine (origin trial) n’est disponible et les serveurs ne peuvent pas encore l’exploiter nativement.
Le temps que le protocole soit ratifié et intégré dans les mises à jour de nos navigateurs (Proton s’y est déjà essayé), il faudra vous armer de patience pendant encore quelques mois. Mais une chose est sûre : l’arrêt de mort des grilles d’images de feux de signalisation est bel et bien signé. Reste à l’appliquer !
