Et si les CAPTCHA vivaient leurs dernières années ? Le 22 juin 2026, Cloudflare a annoncé PACT (Private Access Control Tokens), un protocole pensé pour distinguer les visiteurs légitimes des robots malveillants. Pas de test à résoudre, pas de connexion, pas de pistage. Le projet est porté avec Mozilla, Google, Microsoft et Shopify, et sera soumis à standardisation. Voici ce que l’on sait.

Un jeton anonyme pour prouver qu’un humain est dans la boucle

Depuis de nombreuses années, les CAPTCHA sont la technique utilisée par des millions de sites web et services pour lutter contre les bots malveillants. Mais ils pourraient être remplacés par un nouveau protocole nommé PACT, dont l’idée est de déléguer la preuve de légitimité à un site de confiance, puis de la réutiliser ailleurs sans rien révéler.

Personhood, c’est le terme employé par Cloudflare pour expliquer ce mécanisme. En réalité, PACT s’appuie sur un service qui sait raisonnablement qu’il a affaire à un véritable utilisateur, afin de lui émettre un jeton anonyme. Le navigateur peut ensuite présenter ce jeton à d’autres sites pour attester qu’un humain, ou un agent autorisé, est bien à l’origine de la requête.

D’après Cloudflare, la confidentialité est au cœur de PACT puisqu’il ne révèle ni l’identité de l’utilisateur, ni son historique de navigation, ni même l’origine du jeton. “Le système PACT est conçu de manière à ce que les sites ne puissent pas l’utiliser pour suivre ou identifier les utilisateurs, ni leur historique de navigation.”, peut-on lire.

Il obtient une seule information : la requête provient vraisemblablement d’un humain légitime ou d’un agent autorisé. Le protocole est conçu pour ne pas pouvoir servir au traçage ou à l’identification des internautes.

Pourquoi maintenant : l’IA agentique brouille la frontière humain-robot

Si plusieurs géants du Web travaillent sur une alternative aux CAPTCHA, ce n’est probablement pas un hasard. Les webmasters de sites web font face à une vague de trafic automatisé provenant des agents IA, des outils de scraping, sans oublier les bots malveillants.

Les CAPTCHA cassent l’expérience utilisateur (même si cela dépend de la version utilisée), tandis que personne ne veut du fingerprinting. Et puis d’un autre côté, les bots sont de plus en plus sophistiqués, notamment avec l’essor de l’IA agentique.

En réalité, tout le trafic automatisé n’est pas malveillant, et toutes les actions légitimes ne sont plus réalisées directement par un humain. La frontière se brouille : d’ailleurs Cloudflare estimait début juin que les robots avaient officiellement dépassé les humains dans le trafic Internet.

“Mozilla s’engage à défendre l’ouverture et la vie privée des utilisateurs sur le Web. Une avalanche de trafic automatisé pousse les sites à adopter des mesures de défense radicales – paywalls, vérifications d’identité, CAPTCHA et suivi intrusif – simplement pour déterminer si une requête provient d’un être humain.”, précise Bobby Holley, CTO de Firefox, dans le communiqué de Cloudflare.

N’attendez pas PACT pour demain

Ce protocole privacy-first n’est pas encore un standard du Web. En réalité, il s’agit d’un projet en cours de développement, dont la standardisation est planifiée mais non actée. Autrement dit, personne ne doit s’attendre à voir les CAPTCHA⁣⁣⁣ disparaître dès demain, mais PACT devrait bien voir le jour.

Au-delà de Cloudflare et Mozilla, d’autres acteurs importants sont engagés sur ce projet, en particulier les équipes derrière les navigateurs comme Google Chrome et Microsoft Edge, rejoints par Shopify côté commerce en ligne.

L’idée mérite d’être suivie.