Cloudflare propose un registre ouvert pour authentifier les bots par cles cryptographiques

Cloudflare a dévoile une proposition visant a modifier la facon dont les plateformes Web identifient et gerent le trafic automatisé. L’entreprise propose un format de registre ouvert pour authentifier les bots et agents Web a l’aide de cles cryptographiques verifiables, plutot que de se baser principalement sur les adresses IP.

Pourquoi ce changement est necessaire?

Historiquement, les serveurs s’appuyaient sur les adresses IP pour identifier les bots, un mecanisme qui fonctionnait bien a l’epoque des reseaux fixes. Aujourd’hui, les agents intelligents et les bots IA – moteurs de recherche, assistants, crawlers commerciaux – utilisent des infrastructures partagees, des proxys ou des adresses IP dynamiques. Cela entraine :

• des faux positifs, quand des bots legitimes sont bloques,
• et des faux negatifs, quand des bots malveillants passent entre les mailles du filet.

Cloudflare estime qu’il est temps d’adopter un systeme plus fiable, ouvert et verifiable.

Comment fonctionne le nouveau format?

Le registre ouvert propose aux createurs de bots de publier des cles publiques verifiables selon un format standardise. Ces cles seraient accessibles via des fichiers texte simples, heberges sur des depots publics comme GitHub ou distribues par email, et consultables par les serveurs qui doivent valider l’identite d’un agent.

Exemple donne: un bot ChatGPT pourrait lister sa cle sur https://chatgpt.com/.well-known/agent-registry-keys. Un serveur Web pourrait alors interroger cette URL pour confirmer que le trafic provient du bot declare, sans passer par une autorite centrale. En clair: au lieu de se fier a l’adresse IP d’un agent, on verifie son identite cryptographique.

Un modele decentralise et interoperable

Cette approche rompt avec les listes proprietaires et les filtres ferres utilises jusqu’ici. N’importe qui – du developpeur independant a la grande entreprise – pourrait maintenir son propre registre, interoperable avec d’autres. Parmi les principaux beneficiaires on trouve :

• le commerce en ligne: distinction plus claire entre bots d’achat legitimes et scrapers malveillants,
• la recherche et l’IA: reduction des blocages accidentels de crawlers académiques,
• l’interoperabilite: possibilite pour les plateformes de valider automatiquement des agents externes.

Cloudflare indique deja travailler avec Visa et Mastercard pour appliquer ce principe a la securisation des agents commerciaux autonomes.

Prolongement du travail sur Web Bot Auth

Le projet s’appuie sur les travaux precedents de Cloudflare autour de Web Bot Auth, un systeme d’authentification cryptographique des bots entrepris precedemment. La difference ici est que le registre vise a standardiser et ouvrir le processus pour l’ensemble de l’ecosysteme Internet, au-dela des seuls services Cloudflare.

Cloudflare presente cette innovation comme une etape vers une infrastructure de confiance universelle, fondee non pas sur la reputation d’une IP mais sur une identite numerique verifiee. Selon un ingenieur cite dans le rapport: « Le futur du trafic automatise doit reposer sur la cryptographie, pas sur la presomption ».

Les defis a venir

Les experts saluent l’initiative mais soulignent plusieurs défis:

• adoption communautaire: le format doit devenir un standard reconnu et non un simple outil Cloudflare,
• gouvernance: qui arbitrera en cas de conflit entre cles ou d’abus?,
• interoperabilite: il faudra convaincre les grands acteurs du Web (Google, Amazon, Meta…) d’adopter le meme protocole.

Fidele a son ADN open source, Cloudflare publiera le format sur GitHub a l’adresse github.com/cloudflare/agents, en esperant y federer une communaute de developpeurs et de chercheurs.

Conclusion

En proposant ce registre d’agents verifiables, Cloudflare ne propose pas seulement une mise a jour technique: l’entreprise propose un nouveau paradigme de confiance sur Internet, ou chaque bot, chaque agent et chaque assistant IA pourra prouver son identite de maniere transparente et universelle. Cette approche pourrait reduire les blocages abusifs, fluidifier les echanges entre sites et bots, et renforcer la securite globale du Web.