Un geste de la main pour dire adieu aux images de feux tricolores ?

Depuis la mi-juin 2026, la firme de Mountain View teste une fonctionnalité inédite au sein de sa plateforme Google Cloud Fraud Defense, qui héberge le célèbre outil reCAPTCHA. Au lieu de devoir cliquer sur des vignettes ou recopier des textes déformés, l'utilisateur est invité à brandir sa main devant la caméra de son appareil et à effectuer un ou plusieurs signes – par exemple un simple geste de la paume.

Le navigateur demande alors l'accès à la webcam, enregistre une courte vidéo, et un modèle de machine learning extrait les données de repères de la main. Selon les informations disponibles, l'IA identifie précisément 21 points correspondant aux articulations et aux jointures de la main. Ce procédé, connu sous le nom de "liveness detection" (détection de vivacité), vise à s'assurer qu'un être humain réel se trouve derrière l'écran, et non un programme automatisé.

Pourquoi ce changement ?

Les CAPTCHA visuels et auditifs classiques sont devenus vulnérables face aux progrès de l'intelligence artificielle. Les bots parviennent aujourd'hui à résoudre les défis de sélection d'images ou de reconnaissance de texte avec un taux de réussite élevé, ce qui facilite la création massive de comptes automatisés, les attaques par force brute ou les fraudes en ligne. En utilisant un geste dynamique de la main, Google espère rendre la tâche beaucoup plus ardue pour les robots, qui peinent à imiter le mouvement naturel et les caractéristiques biométriques d'une main humaine.

Un déploiement facultatif et des promesses de confidentialité

Pour l'heure, cette option n'est pas encore activée par défaut. Il reviendra à chaque développeur de décider s'il souhaite l'intégrer sur son site web. Google met en avant des garanties en matière de vie privée : l'entreprise affirme que les vidéos et les photos capturées sont supprimées immédiatement après la vérification, qu'aucun son n'est enregistré et que les données ne sont pas liées à l'identité de l'utilisateur. Seules les coordonnées des articulations de la main sont conservées à des fins statistiques ou d'amélioration du modèle.

Cependant, certains experts pointent une zone d'ombre : même anonymisées, ces 21 données biométriques constituent une signature unique de la main, potentiellement réutilisable à d'autres fins si elles venaient à fuiter ou à être détournées.

Déjà contourné ?

Un paradoxe a rapidement émergé. D'après plusieurs observateurs, à peine quelques jours après la mise en place de ce nouveau test, des chercheurs ou des internautes auraient réussi à le tromper en utilisant une simple photographie de main imprimée ou affichée sur un écran. Une image trouvée en ligne, voire une photo banale d'une main brandie, suffirait à duper le système dans certaines conditions. Si ce contournement est avéré, il remettrait en cause l'efficacité même de la méthode, avant même son déploiement généralisé.

Google n'a pas communiqué officiellement sur ces tentatives de bypass, et il est possible que l'entreprise affine son algorithme pour détecter les images statiques avant le lancement public.

Quelles suites ?

La firme n'a pas encore annoncé de calendrier précis pour une mise à disposition de cette fonctionnalité. L'expérimentation actuelle devrait permettre de recueillir suffisamment de données pour améliorer la robustesse du système. Il n'est pas exclu que cette vérification par geste coexiste avec les méthodes traditionnelles, chaque site choisissant son niveau de sécurité.

En attendant, les internautes peuvent s'attendre à voir apparaître de plus en plus souvent la demande d'accès à la webcam sur les pages d'inscription ou de paiement. Reste à savoir si cette innovation parviendra à restaurer la confiance dans les CAPTCHA, tout en respectant les exigences croissantes en matière de protection des données personnelles.