En bref : Cloudflare, Mozilla, Google, Microsoft et Shopify travaillent ensemble sur PACT (Private Access Control Tokens), un protocole conçu pour prouver qu'un visiteur est humain ou un agent autorisé, sans CAPTCHA, sans connexion forcée et sans reconstruire son historique de navigation.
Le web vient de franchir un seuil symbolique : selon les données Cloudflare Radar, les requêtes HTTP automatisées représentent environ 58 % du trafic mondial, contre 42 % pour les internautes. Matthew Prince, PDG de Cloudflare, avait anticipé ce basculement ; l'essor des agents IA (ChatGPT, Gemini et autres assistants qui naviguent à la place des utilisateurs) l'aurait accéléré d'une bonne année et demie.
Dans ce contexte, Cloudflare a annoncé une initiative commune avec Firefox, Chrome et Edge pour bâtir un nouveau standard internet. L'objectif : vérifier si une visite est légitime sans recourir aux mécanismes actuels (challenges visuels, murs de connexion, empreintes navigateur discrètes) qui frustrent les utilisateurs et posent de sérieuses questions de confidentialité.
Pour les équipes qui collectent des données web à grande échelle, ce changement mérite attention : il redéfinit la frontière entre automatisation légitime et abus, un sujet au cœur des produits anti-bot bypass et WebUnlocker de Piloterr.
Des jetons anonymes à la place des CAPTCHA
Le protocole PACT repose sur une idée simple : un site qui connaît déjà l'identité d'un visiteur (par exemple après une authentification solide) peut lui délivrer un jeton anonyme. Le navigateur le conserve et peut le présenter à d'autres sites comme preuve qu'une personne réelle, ou un agent qu'elle a explicitement mandaté, se trouve derrière la session.
Le mécanisme est pensé pour être non traçable : le jeton ne permet ni de suivre l'utilisateur d'un site à l'autre, ni de reconstituer son parcours de navigation. C'est précisément l'inverse des techniques de fingerprinting ou de scan d'extensions qui se sont imposées par défaut quand les plateformes cherchent à distinguer humains et scripts.
En pratique, PACT pourrait réduire la friction sur des parcours sensibles (achat en ligne, accès à un service public, consultation d'un contenu protégé) tout en laissant les éditeurs filtrer le trafic manifestement abusif.
Qui participe, et pourquoi maintenant
L'annonce réunit des acteurs qui couvrent l'essentiel de la chaîne :
- Cloudflare, qui voit passer une part massive du trafic HTTP et gère déjà des produits de bot management ;
- Mozilla (Firefox), Google (Chrome) et Microsoft (Edge), soit à eux trois environ 77 % des navigateurs selon StatCounter ;
- Shopify, dont les enjeux e-commerce rendent chaque faux positif ou délai supplémentaire potentiellement coûteux.
Dane Knecht, CTO de Cloudflare, résume l'enjeu : l'internet change de nature avec la montée du trafic piloté par l'IA, et les outils de sécurité actuels sont trop génériques pour traiter finement humains, agents autorisés et scrapers malveillants.
Du côté des navigateurs, l'argument est celui du web ouvert. Bobby Holley (Mozilla) pointe l'« avalanche de trafic automatisé » qui pousse les sites vers des défenses brutales : paywalls, vérifications d'identité, pistage invasif. Erik Anderson (Edge) insiste sur la nécessité d'outils efficaces et respectueux de la vie privée pour lutter contre les abus sans punir chaque visiteur.
Côté commerce, Ilya Grigorik (Shopify) rappelle qu'en e-commerce, chaque friction peut transformer un panier en abandon. Un standard ouvert qui distingue acheteurs réels et agents mandatés des bots abusifs, sans traquer l'acheteur, répond à un besoin concret pour des millions de marchands.
Pas une guerre contre tous les bots
Point important souvent mal interprété : PACT ne vise pas à éteindre l'automatisation. Cloudflare lui-même mise sur les agents IA ; l'objectif est de séparer les requêtes légitimes (un assistant qui récupère un prix pour vous, un crawler d'indexation autorisé, un flux d'enrichissement B2B contractuel) des campagnes de scraping agressif, du credential stuffing ou du déni de service applicatif.
Pour les développeurs et les équipes data, la distinction est familière. Tout le monde n'a pas besoin d'un WebUnlocker pour extraire du HTML public ; en revanche, lorsqu'un site durcit ses défenses, savoir si votre trafic sera un jour éligible à un jeton PACT ou toujours traité comme suspect change la donne en matière de conformité, de taux de succès et de coût d'infrastructure.
Sur les épaules de Privacy Pass
PACT ne part pas de zéro. Apple exploite déjà un mécanisme proche avec Privacy Pass, qui s'appuie sur l'enclave sécurisée des appareils pour attester une identité sans la divulguer. Cloudflare intègre Privacy Pass comme signal dans ses offres anti-bot.
En 2024, l'IETF a publié l'architecture Privacy Pass en RFC 9576. PACT prolonge cette base en visant un déploiement plus large côté navigateurs et en ciblant explicitement le trafic agentique qui a redessiné la composition du web en quelques mois.
Calendrier et limites
Aucune date de déploiement n'a été annoncée. Les partenaires s'engagent à faire mûrir le protocole et à le soumettre à la standardisation, mais passer d'une spécification à des milliards de sessions navigateur prend du temps : négociation technique, implémentation, adoption côté éditeurs.
La question n'est pas seulement technique. PACT propose aux sites moins de données sur leurs visiteurs, pas plus. Dans un écosystème où la mesure et le ciblage publicitaire ont longtemps primé, l'adoption dépendra autant de la volonté des éditeurs que de la vitesse du processus de standards.
Ce que cela change pour le scraping et la collecte de données
À court terme, rien ne bascule du jour au lendemain. Les CAPTCHA, Turnstile et les WAF restent la norme sur des milliers de domaines, dont Cloudflare lui-même protège une large part.
À moyen terme, PACT pourrait :
- Réduire les challenges pour les sessions déjà attestées, en particulier sur les parcours e-commerce et SaaS ;
- Créer une voie formelle pour les agents IA autorisés, avec des règles plus claires que le blocage aveugle ;
- Accélérer le retrait des techniques de fingerprinting les plus intrusives, sous pression réglementaire et technique.
Pour les projets de scraping web sérieux, l'enseignement est le même qu'avant l'annonce : privilégier les sources autorisées, respecter les conditions d'utilisation, et architecturer des pipelines qui distinguent collecte légitime et contournement abusif. PACT ne remplace pas un bon design d'API ni un accord contractuel avec la source, mais il pourrait un jour offrir une preuve cryptographique que votre agent agit dans un cadre reconnu.
Le web cherche un équilibre entre authenticité et confidentialité. PACT est la dernière tentative en date de le formaliser. Reste à voir si le standard arrivera assez tôt pour accompagner la vague d'agents IA, ou si les sites continueront, en attendant, à durcir leurs murs.
