Déployée depuis avril 2026, la nouvelle génération de reCAPTCHA de Google remplace parfois les traditionnels CAPTCHA par une vérification via smartphone et QR code. Une évolution pensée pour contrer les bots dopés à l’IA, mais qui risque aussi d’exclure certains utilisateurs.

L’ère des feux piétons, vélos, motos ou encore escaliers est peut-être en train de toucher à sa fin. Google déploie progressivement une nouvelle génération de reCAPTCHA qui, dans certains cas, ne demande plus de cocher une case ou de cliquer sur des bus, mais simplement de scanner un QR code avec son téléphone.

Cette fonctionnalité est intégrée à Cloud Fraud Defense, présentée comme la « nouvelle génération de reCAPTCHA » lors de Google Cloud Next 2026, en avril dernier. Pour l’instant, ce mécanisme n’apparaît que dans certaines situations — trafic jugé suspect, scénarios considérés comme à risque –, mais il pourrait se généraliser. Et ce n’est pas forcément une bonne nouvelle pour les utilisateurs.

Google a présenté Cloud Fraud Defense, la nouvelle évolution de reCAPTCHA fin avril 2026. // Source : Google
Google a présenté Cloud Fraud Defense, la nouvelle évolution de reCAPTCHA fin avril 2026. // Source : Google

Comment fonctionnent les nouveaux Captcha de Google ?

Pour rappel, un CAPTCHA sert à vérifier qu’un être humain est bien à l’origine d’une action — accéder à un formulaire, changer un mot de passe, créer un compte — et non un robot. reCAPTCHA, racheté par Google en 2009, est aujourd’hui l’une des solutions les plus utilisées par les sites web pour distinguer automatiquement un « vrai » utilisateur d’un bot.

À l’origine, le système reposait sur des tests simples pour un humain mais difficiles à automatiser : recopier un texte déformé, cocher une case ou identifier des objets dans une image. Mais au fil des versions, reCAPTCHA est devenu beaucoup plus discret, jusqu’à analyser directement le comportement de navigation et différents signaux techniques afin d’attribuer un score de risque, sans forcément afficher de test.

Avec Fraud Defense, Google pousse cette logique plus loin : il ne s’agit plus seulement d’évaluer le comportement d’un utilisateur, mais aussi de vérifier si l’appareil utilisé est considéré comme fiable par Google ou Apple.

Concrètement, lorsqu’un trafic est jugé risqué, le site peut afficher un QR code à scanner avec un smartphone. Celui-ci lance alors un module de vérification qui communique avec les serveurs de Google. Si l’appareil est validé, l’accès est accordé — dans le cas contraire, l’utilisateur peut échouer à prouver qu’il est humain.

Tous les reCAPTCHA ne vont toutefois pas se transformer en QR codes. Cette nouvelle méthode vient s’ajouter aux mécanismes existants et devrait surtout être utilisée dans les situations jugées à risque. Mais si Google la présente comme la solution la plus efficace face aux bots dopés à l’IA, rien ne garantit qu’elle restera marginale.

Google précise d’ailleurs que les sites utilisant déjà reCAPTCHA seront progressivement basculés vers cette nouvelle infrastructure en arrière-plan, sans démarche particulière de leur part.

Cette logique repose sur des conditions techniques très précises. Côté Android, la vérification nécessite une version récente des Google Play Services. Sur un smartphone classique vendu avec les services Google préinstallés, tout se déroule en arrière-plan. Mais sur un appareil « dégooglé » — GrapheneOS, CalyxOS, /e/OS ou encore un smartphone non certifié –, cette brique logicielle est absente ou limitée.

Résultat : la nouvelle vérification reCAPTCHA peut ne jamais aboutir, même lorsque l’utilisateur est parfaitement légitime. Côté iOS, le système s’appuie également sur des fonctionnalités récentes d’iOS et d’iPadOS, elles aussi liées à l’écosystème d’Apple.

Différents types de Captcha à travers le temps // Source : NextCaptcha
Différents types de Captcha à travers le temps. // Source : NextCaptcha

Une réponse à l’inefficacité des captcha face à l’IA

Officiellement, Google présente cette évolution comme une réponse à l’inefficacité croissante des CAPTCHA traditionnels face aux modèles d’IA, désormais capables de reconnaître textes et images avec une très grande précision. « Ce dispositif de vérification, résistant à l’IA et visant à prouver la présence humaine, a pour objectif de rendre la fraude automatisée économiquement non viable », explique l’entreprise dans son billet de blog.

Cette nouvelle génération de reCAPTCHA s’intègre plus largement aux outils anti-fraude des offres cloud de Google, censés mieux bloquer le spam, les attaques automatisées et les faux comptes.

Mais force est de constater que cette approche rappelle fortement Web Environment Integrity (WEI), un projet très controversé proposé par Google en 2023 pour Chrome. L’idée était déjà de permettre aux sites de vérifier l’intégrité de l’environnement du navigateur via des tiers d’attestation, avec la possibilité d’écarter les configurations jugées « non fiables ».

Face aux critiques de développeurs, de navigateurs concurrents et de défenseurs des libertés numériques, Google avait finalement renoncé à intégrer WEI directement dans Chrome. Pourtant, la même logique réapparaît aujourd’hui à travers un produit de sécurité déployé discrètement site par site.

Quelles conséquences pour l’ouverture du Web ?

En pratique, cette nouvelle version de reCAPTCHA favorise les utilisateurs disposant d’un smartphone Android certifié par Google, avec tous les services associés activés, ou d’un iPhone récent. À l’inverse, les personnes qui utilisent des appareils non certifiés, des systèmes Android alternatifs ou des smartphones plus anciens risquent davantage d’être considérées comme « suspectes » — non pas à cause de leur comportement, mais parce que leurs appareils ne produisent pas les bons signaux d’attestation.

Le fait de devoir utiliser un smartphone pour prouver qu’on n’est pas un robot pose aussi une question d’accessibilité. Tout le monde ne possède pas de smartphone, ni n’est à l’aise avec le scan de QR codes. Ce type de vérification peut compliquer l’accès à certains sites pour des publics âgés, précaires ou peu familiers de ces usages, là où les anciens CAPTCHA restaient utilisables depuis un simple ordinateur.

Et même si la méthode rappelle techniquement celle des Passkeys (norme FIDO2), elle crée une situation assez paradoxale sur PC : l’utilisateur devient dépendant de son smartphone pour valider sa session.

À cela s’ajoute un autre problème : les utilisateurs qui cherchent à limiter la collecte de données ou à éviter les services Google se retrouvent dans une impasse. Pour prouver qu’ils sont humains, ils doivent désormais accepter de passer par les briques techniques de Google — ou, côté iPhone, par celles d’Apple.

Pour autant, nous n’en sommes pas encore à une généralisation systématique du QR code sur chaque page web. Google pourrait aussi proposer, à terme, d’autres mécanismes mieux adaptés à un usage pur sur ordinateur, afin de ne pas casser totalement l’expérience de navigation.

La firme n’est d’ailleurs pas seule dans cette évolution vers un « Web certifié » : l’approche rappelle directement les Private Access Tokens d’Apple, qui permettent déjà à certains sites de vérifier de manière transparente qu’une requête provient d’un appareil iOS ou macOS considéré comme légitime. Reste à voir jusqu’où cette logique s’imposera à mesure que l’IA transformera les usages du Web.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.


Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !