Rédigé par : Vaidik Mandloi
Compilé par : Luffy, Foresight News
Depuis son lancement fin 2022, ChatGPT a donné naissance à un vaste écosystème d'agents IA. Actuellement, le trafic web généré par ces programmes dépasse la somme de celui de tous les utilisateurs humains dans le monde. Le comportement de navigation des intelligences artificielles est radicalement différent de celui des humains : elles ne regardent pas les publicités, ne cliquent pas sur les liens, ne font pas d'achats en ligne ; elles se contentent de collecter des données pour accomplir une tâche, puis disparaissent une fois la tâche terminée.
L'architecture et la logique commerciale initiales d'Internet étaient construites autour des comportements et des habitudes humaines. Mais aujourd'hui, la grande majorité des activités de navigation ne provient pas de personnes réelles, ce qui perturbe profondément les principaux sites web. Déjà, 2,5 millions de sites ont commencé à bloquer les robots d'indexation IA, entraînant des poursuites judiciaires contre des plateformes comme Perplexity. Le fournisseur de services cloud Cloudflare a même construit un « labyrinthe de pots de miel », utilisant des textes générés par IA, incohérents et dénués de sens, pour créer des pages en boucle infinie et piéger les robots collecteurs de données.
Cependant, certains agents IA avancés sont déjà capables de contourner ces mesures de protection. Face à cette lutte homme-machine qui s'intensifie, l'industrie s'efforce de développer un mécanisme plus fiable de vérification de l'identité humaine. Ce système doit identifier avec précision si l'opérateur de l'autre côté de l'écran est un humain : un opérateur humain montre de l'hésitation, fait des fautes de frappe, et ses mouvements de curseur présentent les légères vibrations caractéristiques du système nerveux humain. Cet article analyse les causes de cette transformation, les deux principales solutions techniques et le choix auquel les gens seront confrontés : accepter une surveillance centralisée basée sur les caractéristiques biométriques ou adopter la technologie de preuve à divulgation nulle de connaissance (zero-knowledge proof) cryptographique pour une vérification humaine anonyme.
L'IA bouleverse le modèle économique d'Internet
Les sites web bloquent massivement les programmes IA car l'IA perce simultanément, à deux niveaux, les fondements commerciaux sur lesquels repose Internet. La logique de profit d'Internet traditionnel est basée sur l'attention des utilisateurs : l'utilisateur visite une page, voit des publicités, et l'éditeur de contenu génère des revenus. Si une IA effectue un achat en ligne, elle peut parcourir cinq mille sites web en une seule fois, alors qu'un humain n'en consulterait généralement que quatre ou cinq.
L'IA lit bien plus vite que les humains et peut en quelques minutes comparer les prix sur l'ensemble du web, voire passer directement commande, sans générer le moindre visionnage de publicité. Cela signifie que les sites web supportent les coûts d'exploitation de leurs serveurs sans percevoir aucun revenu.
Simultanément, la recherche par IA détourne continuellement le trafic des sites web. Depuis que Google a ajouté un panneau de synthèse IA en haut de ses résultats de recherche, seulement 8 % des utilisateurs cliquent pour accéder aux pages web originales, et les sites de contenu ont vu leur trafic en provenance de Google chuter de 33 %. Un an seulement après son lancement, cette fonction a atteint plus d'un milliard d'utilisateurs actifs mensuels, et le nombre de requêtes a doublé chaque trimestre depuis son introduction.
Beaucoup se souviennent de la plateforme d'aide aux devoirs Chegg. Elle opérait principalement dans les réponses aux devoirs en s'appuyant sur son bon classement dans les recherches, mais a finalement fermé sa section de questions-réponses, attribuant son déclin à l'impact de ChatGPT. Les créateurs de contenu sont pris en tenaille : d'un côté, les robots aspirent librement leur contenu, de l'autre, les résumés IA captent le trafic avant même que les utilisateurs n'atteignent les sites.
L'écart en termes de données est frappant : pour chaque visite qu'il dirige vers un site partenaire, le robot d'OpenAI a préalablement aspiré les données de 400 pages ; le ratio d'Anthropic atteint même 38 000 pour 1. Ces entreprises utilisent gratuitement les données publiques du web pour entraîner leurs modèles d'IA, puis utilisent les produits finaux pour détourner le trafic qui appartenait autrefois aux sites web.
Dans tout autre secteur, une collecte de données aussi prédatrice aurait déjà déclenché d'innombrables poursuites, mais dans le domaine de l'IA, ces entreprises atteignent des valorisations de mille milliards de dollars.
Votre corps est le nouveau mot de passe
Au cours des 25 dernières années, Internet a principalement compté sur les CAPTCHA pour distinguer les humains des machines. Les gens devaient identifier des panneaux de signalisation, saisir des caractères déformés. Ce mécanisme fonctionnait parce que les capacités de reconnaissance d'images des machines étaient bien inférieures à celles des humains.
Aujourd'hui, la situation s'est totalement inversée. Les agents opérationnels d'OpenAI obtiennent des scores significativement plus élevés que les humains dans les systèmes de vérification Google, cliquant avec précision sur les interfaces, copiant-collant du contenu ; les photos générées par IA peuvent tromper les systèmes de vérification d'identité, et des appels vidéo deepfake ont même été utilisés par des escrocs pour effectuer des virements bancaires. La prémisse de conception des méthodes de vérification traditionnelles – que les machines sont moins performantes que les humains – n'existe plus.
L'industrie doit désormais se concentrer sur ce que l'IA ne peut pas encore reproduire. Les caractéristiques comportementales physiques lorsque les humains interagissent avec des appareils électroniques, c'est-à-dire la biométrie comportementale. Des entreprises comme IBM, BioCatch développent de tels systèmes. Cette technologie ne vérifie pas seulement l'identité lors de la connexion, mais surveille également l'état d'utilisation de l'utilisateur en continu, collectant des données sur la vitesse de déplacement du curseur, la façon de faire défiler les pages, le rythme de frappe, la pression sur les touches, les habitudes de correction de texte, l'angle de maintien du téléphone, etc. Le gyroscope du téléphone enregistre ces informations en permanence.
Le système peut même reconnaître des détails comme la main dominante de l'utilisateur, la trajectoire de balayage des doigts. IBM peut créer un profil comportemental unique pour un utilisateur après seulement huit sessions de collecte de données, comparant ensuite chaque action en temps réel avec les données de référence.
La technologie de BioCatch peut même identifier des scénarios de fraude en ligne. Lorsqu'une victime tape son identifiant et son mot de passe sous les instructions téléphoniques d'un escroc, le rythme de frappe saccadé et hésitant est précisément capté par le système. En seulement un an, ce système a aidé 257 banques à identifier environ 2 millions de comptes de blanchiment d'argent. Aujourd'hui, l'UE commence également à expérimenter la reconnaissance de la démarche. Trois ans seulement après le début de l'ère des agents IA, les agents frontaliers de l'UE collectent déjà la démarche des citoyens.
Les recherches intègrent également l'effet Stroop : lorsque le mot « bleu » est écrit en lettres vertes, le cerveau humain est perturbé par le conflit entre le sens du mot et la couleur visuelle, ralentissant sa réaction, alors que l'IA n'est aucunement affectée. Les études montrent que cette interférence cognitive se reflète directement dans le comportement de frappe. Une plateforme n'a même pas besoin de poser un test spécifique ; le simple rythme de frappe peut indiquer si l'opérateur est humain. Les habitudes de frappe révèlent les caractéristiques uniques du traitement de l'information par le cerveau humain.
Le suivi en ligne traditionnel enregistrait principalement la navigation, les clics, les achats de l'utilisateur, que celui-ci pouvait éviter en bloquant les cookies, en utilisant un VPN ou en désactivant la localisation. Mais la biométrie comportementale collecte des caractéristiques instinctives du corps humain : la façon de bouger le curseur, le rythme de frappe sont difficiles à modifier intentionnellement.
Les caractéristiques comportementales de chaque individu sont aussi uniques qu'une empreinte digitale. Contrairement à un mot de passe ou une clé, ce profil biométrique ne peut pas être changé ou réinitialisé. Si cette technologie se généralise, toutes les grandes plateformes seront contraintes de s'adapter. Aujourd'hui, la simulation vocale peut déjà tromper lors d'un appel téléphonique, et la falsification vidéo profonde (deepfake) suit de près. Si tel est l'avenir, la question centrale émerge : qui contrôlera ces données corporelles ?
Qui contrôlera le système de vérification humaine ?
Actuellement, l'industrie se divise en deux camps principaux explorant des solutions de vérification d'identité humaine.
Le premier est World de Sam Altman (anciennement Worldcoin). L'utilisateur doit se présenter devant un dispositif sphérique de scan de l'iris, qui collecte les informations de l'iris et génère une preuve cryptographique, attestant que l'utilisateur est un être humain naturel unique. Actuellement, 18 millions de personnes dans 160 pays ont enregistré leur iris. En avril 2026, World a successivement conclu des partenariats de vérification d'utilisateurs avec l'application de rencontres Tinder, la plateforme de visioconférence Zoom, le service de signature électronique DocuSign ; il a également lancé avec Coinbase l'outil AgentKit, permettant aux utilisateurs de lier leurs agents IA à leur identité vérifiée, de sorte que les plateformes puissent confirmer qu'un agent IA est rattaché à une personne réelle sans divulguer d'informations personnelles.
Mais la technologie de scan de l'iris est interdite dans plusieurs pays. Le public ne comprend pas pleinement les risques liés à l'autorisation de collecte de données biométriques, ce qui est la raison centrale de cette résistance. Une enquête du MIT Technology Review a également révélé que World collectait, sans autorisation valide, plusieurs signes vitaux comme la fréquence cardiaque et la respiration, en plus de l'iris.
La seconde catégorie est basée sur la preuve à divulgation nulle de connaissance (zero-knowledge proof) cryptographique, vous permettant de prouver que vous êtes humain sans révéler votre identité réelle, votre localisation ou votre apparence. Vitalik Buterin avait déjà évoqué cette idée en 2023. Il estimait que si nous ne pouvions pas créer un système d'identité humaine décentralisé, Internet finirait par évoluer vers un contrôle centralisé de l'identité. Si le pouvoir de vérification d'identité est détenu par des entreprises ou des gouvernements, un mécanisme de surveillance sera ancré dans les couches profondes du réseau.
Des tentatives de systèmes d'identité humaine décentralisés à grande échelle ont déjà eu lieu, mais ont finalement échoué. Idena était l'un des premiers projets de blockchain axé sur « une identité par personne ». En seulement deux ans après son lancement, 40 % des comptes du réseau et 48 % des récompenses étaient contrôlés par 23 organisations. Des équipes opérant en Inde, en Russie, etc., louaient les identités de personnes ordinaires pour un salaire horaire inférieur à un dollar, réalisant des profits jusqu'à 55 fois supérieurs. Les chercheurs ont également découvert que même des informations d'identité d'enfants étaient utilisées comme comptes fantômes.
Vitalik avait déjà anticipé ce type de risque. Il a déclaré que la méthode d'attaque la moins coûteuse contre un système de vérification d'identité humaine n'était pas le deepfake ou les techniques de piratage avancées, mais le fait de payer des personnes dans des régions à faible revenu pour qu'elles prêtent leur identité. Tout système de vérification d'identité humaine nécessite un financement : les scanners d'iris, les nœuds de vérification sur la blockchain nécessitent des investissements continus.
Mais dès qu'une preuve d'identité acquiert une valeur économique, un marché noir de location d'identité émerge inévitablement. Dans un monde réel marqué par de fortes inégalités de richesse, les plus puissants sur le plan financier finissent par contrôler ces marchés.
« Imposer une règle d'une personne, une voix dans un système avec des incitations économiques réelles ne fera que répéter l'échec des expériences sociales du XXe siècle. »
Objectivement, les deux voies présentent des défauts évidents. La solution centralisée peut être déployée à grande échelle, mais les données biométriques des utilisateurs seraient confiées à des entreprises qui collectent déjà excessivement des informations, et qui elles-mêmes profitent de la prolifération des robots. La voie cryptographique protège théoriquement la vie privée, mais peine à échapper aux déséquilibres économiques du monde réel, laissant la place à des industries grises pour en tirer parti.
Si je devais parier, je miserais toujours sur la solution cryptographique. Car la biométrie comportementale et le scan centralisé de l'iris enregistrent de façon permanente les informations de votre corps, et la propriété de ces informations revient à ceux qui déploient le système. Une fois qu'ils détiennent vos données, vous ne pouvez pas les supprimer ou les transférer ; ces données seront verrouillées entre les mains de l'entreprise qui les a collectées.
Même en sachant que les preuves à divulgation nulle de connaissance seront exploitées, elles valent toujours la peine d'être développées, car ces preuves peuvent confirmer que vous êtes humain sans révéler davantage d'informations. À l'inverse, si nous abandonnons cette voie, à l'avenir, chaque site web que nous visiterons conservera les données de nos comportements physiques. Actuellement, cette solution centralisée à caractère surveillance se déploie déjà bien plus rapidement que la voie cryptographique.
