Cloudflare, Google, Microsoft, Mozilla et Shopify travaillent sur PACT, un protocole conçu pour distinguer les humains, les agents autorisés et les bots malveillants sans recourir aux CAPTCHA ni au traçage intrusif. Une réponse à la montée du trafic automatisé, devenu majoritaire sur le Web.
Les CAPTCHA ont longtemps servi de barrage imparfait entre les humains et les robots. Ils ont aussi fini par devenir l’un des irritants les plus visibles du Web, avec leurs images de feux rouges, de vélos ou de passages piétons à identifier avant d’accéder à un service. Cloudflare, Google, Microsoft, Mozilla et Shopify veulent désormais pousser une autre approche avec PACT, pour Private Access Control Tokens.
Le principe consiste à permettre à un site de vérifier qu’une requête est légitime sans obliger l’utilisateur à résoudre un défi visuel, à se connecter ou à accepter des méthodes de suivi plus intrusives. Le protocole repose sur des jetons anonymes, capables d’attester qu’un humain est bien impliqué dans l’interaction, ou qu’un agent automatisé est autorisé à agir. Le navigateur pourrait ensuite présenter cette preuve à d’autres sites, sans révéler l’identité de l’utilisateur ni son historique de navigation.
Un Web où les machines prennent plus de place
L’initiative arrive au moment où le trafic automatisé change d’échelle. Les bots ne se limitent plus aux robots d’indexation ou aux scripts rudimentaires. Ils servent aussi à aspirer des contenus, contourner des systèmes de réservation, créer de faux comptes, mener des campagnes de fraude ou tester massivement des identifiants volés. À cela s’ajoutent désormais les agents IA, capables d’effectuer des actions en ligne pour le compte d’un utilisateur.
Pour les éditeurs de sites, les plateformes e-commerce ou les services en ligne, le problème devient plus complexe. Il ne s’agit pas seulement de bloquer les machines. Certaines automatisations sont utiles, légitimes ou même nécessaires au fonctionnement du Web. L’enjeu consiste plutôt à distinguer les usages acceptables des comportements abusifs, sans dégrader l’expérience des internautes.
PACT cherche précisément à traiter cette zone grise. Le protocole doit permettre à des acteurs disposant déjà d’une relation de confiance avec l’utilisateur d’émettre des jetons anonymes. Ces jetons serviraient ensuite de preuve auprès d’autres services, qui pourraient réduire leur dépendance aux CAPTCHA, aux empreintes de navigateur ou aux connexions forcées.
Une réponse aux limites des CAPTCHA
Les CAPTCHA posent un double problème. Côté utilisateur, ils ralentissent l’accès aux services et deviennent parfois impossibles à résoudre correctement, notamment sur mobile ou pour certaines personnes en situation de handicap. Côté sécurité, leur efficacité s’érode face aux fermes de résolution, aux outils automatisés et aux modèles d’IA capables d’analyser des images.
Cloudflare avait déjà commencé à réduire cette dépendance avec ses Private Access Tokens, intégrés notamment à son système Turnstile. PACT va plus loin en cherchant une forme de standardisation portée par plusieurs grands navigateurs. L’appui de Chrome, Firefox et Edge donne au projet une portée potentielle importante, même si son adoption réelle dépendra de sa mise en œuvre par les sites, les plateformes et les fournisseurs d’infrastructure.
L’autre point sensible concerne la confidentialité. PACT est présenté comme un protocole pensé pour éviter que les jetons deviennent un nouvel outil de pistage. Un site doit pouvoir savoir qu’une requête est fiable, sans apprendre qui est l’utilisateur ni reconstituer son parcours de navigation. C’est l’équilibre le plus délicat du projet, car toute solution de preuve d’humanité peut devenir risquée si elle se transforme en couche d’identification généralisée.
Les agents IA compliquent encore l’équation
L’arrivée des agents IA rend la question plus urgente. Demain, une partie des interactions en ligne ne viendra plus directement d’un clic humain, mais d’outils agissant pour son compte. Un agent pourra comparer des offres, réserver un service, remplir un formulaire ou effectuer une transaction. Pour les sites, tout l’enjeu sera de savoir si cette automatisation est légitime, consentie et maîtrisée.
PACT ne promet donc pas seulement de remplacer les CAPTCHA. Il tente de poser une brique de confiance pour un Web où humains et agents automatisés cohabitent. Cette logique intéressera particulièrement les acteurs du commerce en ligne, soumis à la fois à la fraude, au scraping, aux abus promotionnels et à la nécessité de ne pas décourager les vrais clients.
Reste à voir comment le protocole sera standardisé, quels acteurs seront habilités à émettre ces jetons, et quelle gouvernance encadrera leur usage. La promesse est séduisante, mais elle repose sur une condition forte. Remplacer les CAPTCHA n’aura de sens que si le Web ne troque pas une friction visible contre une infrastructure de confiance trop opaque.
