Un consortium inédit pour dire adieu aux tests visuels
Depuis des années, les internautes doivent identifier des feux de signalisation ou des passages piétons pour prouver qu’ils ne sont pas des robots. Ce système pourrait bientôt disparaître. Le 22 juin 2026, Cloudflare a officialisé le lancement de PACT (Private Access Control Tokens), un protocole d’authentification qui vise à remplacer les CAPTCHA. L’initiative rassemble Mozilla, Google, Microsoft et Shopify, soit les principaux éditeurs de navigateurs et un géant du commerce en ligne.
L’idée centrale est simple : au lieu de faire résoudre une énigme à l’utilisateur, un service de confiance atteste, de manière anonyme, qu’un humain (ou un agent autorisé) se trouve derrière la requête. Ce service délivre alors un jeton que le navigateur peut présenter à d’autres sites. Le test de Turing visuel devient inutile.
Un jeton qui ne révèle rien sur l’utilisateur
Cloudflare insiste sur le caractère confidentiel du mécanisme. Selon l’entreprise, PACT ne divulgue ni l’identité de la personne, ni son historique de navigation, ni même l’origine du jeton. « Le système PACT est conçu de manière à ce que les sites ne puissent pas l’utiliser pour suivre ou identifier les utilisateurs, ni leur historique de navigation », a précisé la société américaine. Seule l’information qu’un humain légitime ou un agent autorisé est à l’origine de la requête est transmise.
Ce concept est baptisé « Personhood » (littéralement « qualité de personne ») par Cloudflare. Concrètement, un site qui fait confiance à un émetteur de jetons PACT – par exemple un fournisseur d’accès ou un service d’authentification – peut accepter les requêtes sans demander de test visuel ou de clic sur des cases.
Pourquoi maintenant : l’essor des agents IA et du scraping
Si ces géants du Web convergent vers une alternative aux CAPTCHA, ce n’est pas un hasard. Les administrateurs de sites sont confrontés à une multiplication du trafic automatisé : robots d’indexation, outils de scraping, et surtout agents IA qui imitent de mieux en mieux le comportement humain. Les CAPTCHA traditionnels, déjà contournés par des algorithmes de reconnaissance d’image, deviennent inefficaces face à ces nouvelles menaces.
PACT répond à ce besoin en déléguant la preuve d’humanité en amont, par un service déjà en relation de confiance avec l’utilisateur. Ainsi, le protocole ne nécessite aucune interaction côté internaute et ne ralentit pas la navigation.
Un standard encore en devenir
Pour l’instant, PACT n’est qu’une proposition technique. Les partenaires entendent la soumettre à un organisme de normalisation – l’Internet Engineering Task Force (IETF) est implicitement visé – afin d’en faire un standard ouvert. Cela signifie que le protocole pourrait être adopté par tout navigateur ou serveur, au-delà des seuls acteurs fondateurs.
Aucune date de déploiement généralisé n’a été annoncée. Les tests préliminaires devraient commencer dans les mois à venir, sans certitude quant au rythme d’adoption par les sites web. Cloudflare, qui propose déjà un service anti-bot (Turnstile), devrait intégrer PACT progressivement.
Des implications pour la vie privée et la sécurité
En éliminant le traçage associé à certains CAPTCHA (notamment ceux de Google, qui analysent le comportement de l’utilisateur), PACT promet un gain de confidentialité. Toutefois, la concentration de la fonction d’attestation entre les mains de quelques grands acteurs pourrait soulever des questions de centralisation et de confiance.
Le consortium assure que le protocole est conçu pour empêcher toute corrélation entre les jetons émis et les visites ultérieures. Reste à vérifier sa robustesse face à d’éventuelles tentatives de contournement ou de traçabilité indirecte.
En attendant, les millions d’utilisateurs qui peinent à déchiffrer des caractères déformés ou à sélectionner des portions de rue peuvent espérer voir ces artefacts disparaître de leur écran dans les années à venir.
