Verifiable Intent est une nouvelle couche de confiance basée sur des standards. Codéveloppée par Mastercard avec Google, elle entend à la fois sécuriser et rendre vérifiables les achats effectués par des agents IA. Présentation complète.
À mesure que les agents d’IA quittent le rôle d’assistant pour devenir exécutants, un détail compte : au moment où l’argent change de main, l’intention de l’utilisateur n’est plus visible. Dans le commerce “classique”, l’intention se voit — un clic sur “acheter”, un paiement validé dans une appli, un geste de carte. Dans le commerce piloté par agents, on délègue : “reprends les courses habituelles”, “réserve un vol sous 400 €”, “commande ce modèle en taille M”. L’agent interprète, attend le bon moment, puis agit. Et quand la transaction arrive, il faut pouvoir démontrer que l’achat correspond exactement à ce qui a été autorisé — ni plus, ni autrement.
C’est précisément la promesse de Verifiable Intent, présenté par Mastercard le 5 mars comme une “couche de confiance” ouverte, basée sur des normes, et codéveloppée avec Google. L’annonce officielle est détaillée sur le site de Mastercard, avec une idée simple : faire voyager avec la transaction une preuve cryptographique, consultable en cas de litige, qui relie identité, instructions et action. Le cœur du dispositif, et c’est un choix notable, est publié en open source : la spécification et une implémentation de référence sont accessibles sur verifiableintent.dev (le point d’entrée principal côté développeurs), ainsi que sur GitHub sous licence Apache 2.0.
Une preuve d’autorisation qui “colle” à la transaction
Verifiable Intent vise à créer un enregistrement inviolable qui associe trois éléments : qui délègue, ce qui est autorisé, et ce qui a effectivement été acheté. Mastercard décrit le mécanisme comme une piste d’audit cryptographique qui peut être mobilisée si quelque chose se passe mal : une contestation, un doute sur l’instruction initiale, ou une situation où l’on doit trancher entre achat légitime et fraude. L’objectif est de rendre l’intention explicite et vérifiable, sans transformer le paiement par agent en parcours d’authentification permanent.
Le sujet est moins théorique qu’il n’y paraît. Dès qu’un agent peut acheter, la question n’est plus “est-ce que ça va vite ?” mais “comment prouver ce qui a été demandé ?”. Mastercard formule l’enjeu comme un changement de paradigme : la confiance ne peut plus être implicite, elle doit être prouvée. Dans cette logique, Verifiable Intent devient une couche commune, censée établir une source de vérité partagée à travers l’écosystème, indépendamment de la manière dont l’achat a été initié.
Ce qui compte aussi, c’est la posture “interopérable”. Mastercard insiste sur une approche agnostique vis-à-vis des protocoles d’agents, avec un alignement annoncé sur l’Agent Payments Protocol (AP2) et l’Universal Commerce Protocol (UCP) côté Google, tout en gardant la possibilité de s’intégrer à d’autres piles. On est typiquement dans une brique destinée à s’insérer entre plateformes d’agents, marchands, prestataires de paiement et émetteurs — un endroit où une initiative fermée aurait peu de chances d’être adoptée par tout le monde.
Partager le minimum, seulement quand c’est nécessaire
Le point le plus délicat d’un dispositif de preuve, c’est la tentation de tout tracer. Or, dans un achat, tout le monde n’a pas besoin de tout savoir. Mastercard met donc en avant un mécanisme de “divulgation sélective” (selective disclosure) : chaque partie ne reçoit que les informations strictement nécessaires, et seulement au moment où elles sont utiles — typiquement pour la prévention de la fraude ou la résolution d’un litige. L’idée est d’éviter qu’une couche de confiance devienne une couche de surveillance, tout en gardant la possibilité de vérifier un achat quand il faut trancher.
Dans son annonce, Mastercard souligne également que Verifiable Intent s’appuie sur des spécifications largement adoptées dans l’industrie (FIDO, EMVCo, IETF, W3C), et évoque une trajectoire où la couche pourrait être renforcée avec des “verifiable credentials” pour rendre l’autorisation et la délégation plus portables, plus explicites, et toujours cryptographiquement vérifiables. Dans les prochains mois, la société prévoit aussi d’intégrer Verifiable Intent à Mastercard Agent Pay, son programme de paiements “agentiques” lancé en 2024, afin de pousser une adoption en conditions réelles.
Le fait d’ouvrir la spécification et une implémentation de référence change la nature du débat : ce n’est pas juste un discours de vision, c’est une invitation à tester, auditer, intégrer, et surtout contribuer. Mastercard le formule clairement sur verifiableintent.dev et renvoie vers le code sur GitHub. Et pour un sujet aussi transversal que “comment prouver l’intention d’un humain quand un agent achète à sa place”, l’ouverture ressemble moins à une option qu’à une condition de survie.
