Ces nouveaux CAPTCHA de Google sont conçus pour résister aux IA
Vous en avez assez de devoir résoudre des casse-têtes pour prouver que vous n'êtes pas un robot ? Mauvaise nouvelle, Google vient de mettre au point un nouveau type de CAPTCHA pour lutter contre les IA agentiques. Il va falloir scanner des QR codes !
Quand on navigue sur le Web, il arrive fréquemment de devoir résoudre de petites énigmes ou des casse-tête avant d'accéder à un service ou de confirmer une action. Il peut s'agir de recopier une série de caractères, de sélectionner toutes les images représentant un lion, un bus, un feu tricolore ou un escalier, de remettre en place une pièce de puzzle ou encore de repérer des zones spécifiques dans une photo. Ces dispositifs, appelés CAPTCHA (pour Completely Automated Public Turing test to tell Computers and Humans Apart), ont pour objectif de vérifier que l'utilisateur est bien une personne réelle et non un programme automatisé (un bot dans le jargon informatique).
Mais en plus d'être agaçants – ils font perdre de précieuses secondes et peuvent parfois poser des difficultés pour les résoudre –, les CAPTCHA sont peu à peu devenus obsolètes. En effet, avec les progrès spectaculaires de l'intelligence artificielle, les robots sont devenus extrêmement sophistiqués et peuvent maintenant résoudre des CAPTCHA avec une efficacité croissante, ce qui remet en cause l'efficacité de ce système de sécurité.
Aussi, dans un billet de blog, Google annonce expérimenter depuis début avril 2026 une nouvelle génération de reCAPTCHA, qui vient parfois remplacer les traditionnels CAPTCHA par une vérification via un smartphone et un QR code. Un système de sécurité plus efficace, mais qui exclut d'emblée certains utilisateurs.
ReCAPTCHA à QR Code : une réponse à l'émergence des IA agentiques
Lors du Google Cloud Next 2026 qui s'est tenu en avril dernier, Google a présenté la nouvelle génération de reCAPTCHA. Intégrée dans le nouveau programme Cloud Fraud Defense du géant du Web, elle vient remplacer les images et autres puzzles à compléter par un QR code à scanner via son smartphone. "Cette méthode résistante à l'utilisation par IA est pensée pour rendre la fraude automatisée économiquement intenable", c'est-à-dire rendre ce type d'attaques trop coûteuses ou trop compliquées à mettre en œuvre par les cybercriminels, explique Google – aujourd'hui, un bot peut, grâce à l'IA, résoudre des CAPTCHA classiques à très grande échelle pour un coût relativement faible.
Ce mécanisme n'apparaît pas systématiquement – pour l'instant du moins –, seulement lorsque le trafic est considéré comme suspect ou que le scénario est jugé comme à risque – mais il pourrait se généraliser. Cela permet non seulement de vérifier le comportement de l'utilisateur, mais également de s'assurer de la fiabilité de l'appareil utilisé.
Concrètement, lorsqu'une activité paraît suspecte, l'utilisateur pourrait devoir scanner un QR code avec son smartphone afin que son appareil confirme son authenticité auprès des serveurs de Google ou d'Apple. S'il est validé, l'accès est accordé – sinon, l'utilisateur échoue à prouver qu'il est humain. L'objectif est de s'appuyer sur des éléments matériels et logiciels jugés plus difficiles à imiter pour une IA ou un robot automatisé.
Cette évolution est directement liée à l'essor des IA agentiques, capables non seulement de comprendre des images, mais aussi d'interagir avec des interfaces Web presque comme un humain. Plusieurs démonstrations récentes ont montré que des modèles basés sur ChatGPT pouvaient résoudre certains CAPTCHA, parfois même en simulant des mouvements de souris tout à fait crédibles.
Notons qu'il y a une douce ironie dans cette situation, étant donné que les CAPTCHA ont longtemps contribué à entraîner les intelligences artificielles qu'ils cherchent aujourd'hui à combattre. En demandant aux internautes d'identifier des objets sur des images ou de retranscrire des textes difficiles à lire, ces systèmes ont fourni pendant des années de précieuses données pour améliorer la reconnaissance visuelle et l'apprentissage automatique. Désormais, la frontière entre humains et IA devient de plus en plus difficile à maintenir, d'où, à terme, l'évolution progressive des CAPTCHA traditionnels vers ces nouveaux reCAPTCHA.
ReCAPTCHA ç QR Code : une méthode d'authentification à double tranchant
Mais ce changement n'est pas sans conséquence pour les internautes. Premièrement, scanner un QR code avec son téléphone pour accéder à un site ou valider un formulaire apparaît déjà comme une contrainte supplémentaire pour beaucoup d'utilisateurs. Ensuite, ce système va laisser de côté les personnes n'ayant pas de smartphone (que cela soit subi ou par choix), mais aussi celles qui ne sont pas suffisamment à l'aise avec cette technologie ou qui n'ont pas leur téléphone sous la main lorsqu'ils naviguent sur le Web.
Et c'est sans compter ceux qui possèdent un smartphone Android "dégooglisé", c'est-à-dire débarrassé des services Google pour des raisons de confidentialité – GrapheneOS, CalyxOS, /e/OS ou encore un smartphone non certifié –, qui pourrait alors être considéré comme suspect par défaut, puisque la nouvelle vérification reCAPTCHA risque de ne jamais aboutir. Pour faire simple, ce système risque de potentiellement renforcer les inégalités d'accès au Web.
Autre problème : habituer les utilisateurs à scanner des QR codes à tout va n'est peut-être pas une très bonne idée au niveau de la cybersécurité. En effet, les pirates se sont déjà emparés de la technologie par le biais du quishing – c'est comme le phishing, mais avec un QR code. Les escrocs n'hésitent par exemple pas à en coller sur les parcmètres ou sur les bornes de recharge pour les voitures électriques afin de détourner les paiements, ou encore à s'en servir pour détourner le système de paiement sécurisé de plateformes comme Leboncoin. Si le système est largement adopté, alors il sera plus facile pour les pirates d'utiliser un QR code comme méthode d'infection.
Se pose également la question de la vie privée. Depuis plusieurs années, des chercheurs et observateurs estiment que les CAPTCHA modernes servent aussi à collecter des données comportementales sur les internautes. Le dernier système mis en place ne se contentait déjà plus d'analyser une action ponctuelle, comme cliquer sur des images ou recopier un texte, mais reposait sur l'évaluation globale de l'appareil et du comportement de l'utilisateur afin de déterminer s'il s'agit d'un humain légitime. Il analysait les cookies, l'historique de navigation, les mouvements de souris, la vitesse de frappe, les interactions avec la page ou encore le temps passé dessus afin d'établir un "score de confiance" et décider si une vérification supplémentaire était nécessaire.
Le nouveau système présenté par Google va aller encore un cran plus loin puisqu'il va s'appuyer directement sur l'identité et l'intégrité du terminal utilisé – c'est le smartphone qui sert de preuve d'authenticité ! Et, pour vérifier qu'un appareil est "digne de confiance", il faut potentiellement transmettre des informations techniques sur le téléphone, le système d'exploitation, l'environnement logiciel ou l'état de sécurité de l'appareil.
Certains spécialistes craignent même une forme de "fingerprinting" renforcé, c'est-à-dire une identification indirecte à partir de l'empreinte technique du terminal. Sans compter que cela renforce la centralisation des données autour des grandes plateformes technologiques (Google et Apple), puisque ces dernières deviennent les arbitres de l'identité numérique des internautes.
Nous n'en sommes cependant pas à la généralisation systématique des QR codes pour accéder à chaque page Web. Google n'est pas la seule entreprise à travailler pour faire advenir un "Web certifié". Apple est aussi sur le coup avec ses Private Access Tokens, qui permettent déjà à certains sites de vérifier de manière transparente et confidentielle qu'une requête provient d'un appareil iOS ou macOS considéré comme légitime. À voir comment tout cela va s'intégrer dans l'écosystème numérique mondial !