Pendant des années, prouver qu’on était humain ressemblait à un examen de conduite : identifier des feux tricolores, reconnaître des bus ou des vélos sur des grilles pixelisées. Des petits rituels qui ont structuré une décennie entière de navigation. Puis ils ont disparu, presque sans qu’on s’en rende compte, pour laisser place à un système moins visible et plus sophistiqué.

Nous sommes en 2000 et à la demande de Yahoo!, une équipe de chercheurs de Carnegie Mellon incluant l’informaticien Luis von Ahn crée le CAPTCHA, un acronyme pour Completely Automated Public Turing test to tell Computers and Humans Apart.

L’objectif est simple : empêcher au maximum les bots de naviguer sur le web comme des êtres humains. Le principe mis au point consiste alors à faire passer aux internautes un test cognitif qu’une machine, à l’époque, ne peut pas réussir. Du texte déformé à recopier, ou une case à cocher.

Les capacités des ordinateurs progressant, le CAPTCHA doit suivre la cadence. Quand Google rachète reCAPTCHA en 2009 et le transforme en grilles d’images, le dispositif devient universel.

Pendant dix ans, des milliards d’internautes cliquent sur des bus, des ponts, des vélos. Puis les puzzles ont à leur tour disparu, non pas parce que le problème des bots s’est résolu, mais parce qu’une nouvelle approche les a rendus inutiles.

Bitdefender logo black
Box Bit 3
Faux SMS, mails frauduleux… Ne tombez plus dans le piège !
Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security.
Je me protège contre les arnaques.
Différents types de Captcha à travers le temps // Source : NextCaptcha
Différents types de CAPTCHA à travers le temps. // Source : NextCaptcha

Du puzzle à l’analyse comportementale

À vrai dire, le changement n’est pas récent. Ce qui a provoqué la disparition des puzzles, c’est le reCAPTCHA v3 qui, depuis son instauration en 2018, fonctionne sans aucune interaction visible. Un script JavaScript tourne en arrière-plan, analyse votre comportement : mouvements de souris, vitesse de défilement, empreinte du navigateur, cookies, plugins installés. Cela, fin d’attribue un score entre 0 et 1. Zéro : probablement un bot. Un : probablement un humain.

Plus besoin d’identifier des panneaux de signalisation. La vérification a déjà eu lieu pendant que vous naviguiez.

La différence avec les systèmes précédents est fondamentale. Avant, on testait ce que vous faisiez. Désormais, on évalue ce que vous êtes, ou plutôt, ce que votre comportement passif révèle de vous en permanence.

Cloudflare Turnstile fonctionne sur le même principe, en revendiquant une collecte de données plus limitée, une réponse directe aux critiques adressées à Google sur la vie privée, et aux mises en demeure de plusieurs autorités européennes dont la CNIL.

Quel avenir face aux agents IA ?

Mais quand pourra s’interrompre cette course constante entre les capacités des bots et celles des CAPTCHA ? Ou plutôt à quelles évolutions s’attendre ? Car les bots les plus sophistiqués simulent déjà des trajectoires de souris réalistes, s’appuient sur des adresses IP d’internautes réels pour contourner les systèmes comportementaux, et imitent des empreintes de navigateur humaines. Chaque solution semble ainsi déplacer le problème plutôt qu’elle ne le résout définitivement.

L’avènement des agents IA complique encore davantage l’équation. Ces programmes, conçus pour naviguer le web de manière autonome au nom d’utilisateurs légitimes, peinent eux-mêmes face aux CAPTCHA, nécessitant souvent une intervention humaine. Un comble pour des systèmes censés automatiser la navigation.

ReCaptcha Google
Les reCAPTCHA v3 de Google se valident et ne nécessitent, dans la plupart des cas, aucune action de l’utilisateur // Source : Google

Pendant vingt ans, la question centrale était : « es-tu humain ? » Les protocoles émergents comme Web Bot Auth ou les preuves à connaissance nulle déplacent le problème vers une autre question : « as-tu le droit d’être là ? »

Un glissement discret mais fondamental. Dans un web où les agents IA naviguent légitimement pour le compte d’entreprises, d’assistants personnels ou de services automatisés, distinguer humain et bot perd une partie de son sens. Ce qui compte désormais, c’est l’autorisation, vérifiable, traçable, cryptographique.

Les puzzles ont disparu sans qu’on s’en aperçoive. Leur successeur invisible disparaîtra probablement de la même façon, remplacé par une couche d’authentification que la plupart des utilisateurs ne verront jamais.


une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !