Tandis que certains bloquent les bots, d'autres leur apprennent à présenter un passeport. En 2026, Cloudflare, Google, Amazon, Akamai et OpenAI se sont réunis autour d'une norme — Web Bot Auth. L'idée est simple et radicale : le trafic automatique n'est plus vérifié par l'adresse IP et la chaîne User-Agent, qui peuvent facilement être falsifiées. Au lieu de cela, l'agent signe cryptographiquement chaque requête, et le site vérifie instantanément la signature. Le 2 mars 2026, la cinquième version de l'ébauche de l'architecture (draft-meunier-web-bot-auth-architecture-05) a été publiée, en mai, Google a commencé les tests en conditions réelles, et le groupe de travail IETF vise à publier la norme d'ici août 2026. Nous examinons ce mécanisme, qui se cache derrière et pourquoi cela représente un tournant à 180 degrés pour tous ceux qui s'occupent de scraping et de multi-comptes.
Ce qui s'est passé : les bots obtiennent une identité cryptographique
La vérification classique « ami ou ennemi » sur le web reposait sur deux béquilles. La première — User-Agent : une chaîne que le client communique sur lui-même et que n'importe quel script peut réécrire en une ligne de code. La seconde — listes d'adresses IP : le site maintient une liste de plages « officielles » de Googlebot, Bingbot et autres, et vérifie le DNS inverse. Les deux approches se sont effondrées en 2026.
Cloudflare formule directement le problème dans sa documentation technique : la même IP peut être utilisée par de nombreux utilisateurs ou services simultanément, et les plages elles-mêmes changent constamment en fonction de l'infrastructure. L'User-Agent n'est pas une preuve — c'est simplement une auto-représentation. La signature cryptographique, selon les auteurs, offre une authentification sans se baser ni sur les « plages IP en constante évolution », ni sur les « en-têtes falsifiables comme User-Agent ».
Techniquement, Web Bot Auth repose sur la norme déjà acceptée HTTP Message Signatures (RFC 9421). À chaque agent est attribuée une paire de clés Ed25519. Avant d'envoyer une requête, l'agent ne signe pas n'importe quoi, mais l'autorité de l'URI cible — c'est-à-dire le domaine auquel il s'adresse (lorsqu'il accède à example.com, c'est précisément example.com qui est signé). Des en-têtes Signature-Input (fenêtre de validité avec des étiquettes created et expires, identifiant de clé keyid au format JWK Thumbprint et tag web-bot-auth) et Signature-Agent, qui pointe vers le répertoire contenant les clés publiques (JWKS), sont ajoutés à la requête. Le site télécharge la clé publique de ce répertoire et vérifie la signature. La falsification de celle-ci sans la clé privée est impossible, et la fenêtre de validité protège contre la répétition d'une requête interceptée.
Qui se cache derrière la norme
Ce n'est pas une expérience d'une seule entreprise. Web Bot Auth est soutenu par Cloudflare, Amazon, Akamai et OpenAI. L'ébauche de l'architecture est coécrite par Thibaut Meunier (Cloudflare) et Sándor Major (Google). AWS WAF a déjà ajouté le support de la vérification des signatures, Cloudflare l'a intégré dans son programme Verified Bots et l'a activé sur son edge en production. Un groupe de travail distinct de l'IETF sur Web Bot Auth a été créé en 2026 et vise à soumettre la spécification à la normalisation d'ici août 2026.
Google s'implique — et c'est un tournant
Le 6 mai 2026, il a été annoncé que Google teste Web Bot Auth pour vérifier son propre trafic de bots. L'idée est que le site puisse s'assurer que la requête, se présentant comme celle de Google, provient réellement de Google, et non de quelqu'un qui a simplement inscrit Googlebot dans l'User-Agent. Le trafic AI signé de Google est sous l'identité agent.bot.goog — les propriétaires de sites récupèrent les clés publiques de Google à partir de ce point de terminaison et valident les en-têtes Signature et Signature-Input.
Pourquoi est-ce important maintenant. Justement à cause de ce dont nous avons parlé concernant le blocage des navigateurs agents : à partir du 15 septembre 2026, Cloudflare coupe par défaut les AI-crawlers « mixtes » sur les pages publicitaires de nouveaux domaines, et environ un cinquième de tout le web passe par le réseau Cloudflare. Le web se ferme. Et Web Bot Auth ne concerne pas « comment bloquer », mais plutôt « qui laisser entrer ». Un nouveau type de liste blanche apparaît : non pas par IP, mais par identité cryptographique. Le site pourra activer une politique du type « afficher les prix et les détails du produit uniquement aux agents signés vérifiés » — et tout le reste restera automatiquement à l'extérieur.
Agents signés : première cohorte
Une catégorie distincte — signed agents (agents signés). Ce sont des bots gérés par un utilisateur final, et non par une seule entreprise : la plateforme ou le navigateur distant sur lequel l'agent fonctionne signe ses requêtes HTTP, et Cloudflare valide les signatures. La première cohorte comprend ChatGPT agent (OpenAI), Goose (Block), Browserbase, Anchor Browser et Cloudflare Browser Rendering. Daouwe Osinga de Block a décrit le bénéfice directement : « Web Bot Auth permet aux sites de faire confiance à Goose, tout en préservant ce qui le rend unique ».
La différence clé : l'agent signé agit au nom d'une personne (un assistant hypothétique qui accède au site à votre demande), tandis que le crawler « de recherche » ou « d'entraînement » travaille pour une entreprise. Cloudflare différencie déjà ces entités dans ses règles de sécurité — et c'est cette bifurcation qui déterminera qui dans le web de 2026-2027 se verra ouvrir des portes, et qui ne le sera pas.
Ce que cela signifie pour le scraping et les proxies
À première vue, il semble que la signature cryptographique enterre le scraping anonyme. En pratique, c'est plus subtil — le web se divise en deux voies de circulation, et pour notre public, cela change la tactique, sans l'annuler.
- Voie des agents signés. Un passage étroit et privilégié pour les grandes plateformes et les assistants « utilisateurs » de la liste blanche. Pour y accéder, il faut une clé privée, un répertoire JWKS public, une inscription auprès d'un CDN et une conformité aux politiques. Pour un projet de parsing typique, une ferme anti-détection ou une automatisation SMM, ce chemin est fermé : vous n'êtes ni Google ni OpenAI, vous ne recevrez pas de signature.
- Voie de tous les autres. Ici, vivent toujours des scrapeurs indépendants, le suivi des prix, la collecte de données, le multi-comptes. Et c'est ici que les enjeux concernant la qualité des proxies et la fiabilité de l'empreinte augmentent. Puisque les « légitimes » sont admis sur signature, tout le trafic non signé est soumis à des règles plus strictes par défaut.
En d'autres termes, Web Bot Auth ne tue pas le besoin de proxies — il élève la barre pour ceux qui ne figurent pas sur la liste blanche. Alors qu'auparavant, il était possible d'espérer passer inaperçu avec un User-Agent gris, désormais, une requête non signée tombe immédiatement dans la catégorie « prouve que tu es un être humain ». Et cela se prouve par une combinaison d'IP propre et de comportement crédible.
Pourquoi les IP résidentielles et mobiles deviennent encore plus précieuses
Lorsque la signature n'est pas disponible, le seul moyen de paraître légitime est d'être indistinguable d'un utilisateur ordinaire. Les adresses de centres de données ne résolvent pas cette tâche : selon diverses mesures, Cloudflare ne laisse passer les IP de centres de données que dans 40 à 60 % des cas, tandis que les proxies résidentiels offrent un taux de passage de 85 à 99 %. La raison est précisément que l'adresse résidentielle appartient à un véritable fournisseur d'accès Internet et à un abonné vivant — par la réputation de l'IP, il n'est pas possible de la distinguer d'une personne derrière le même routeur.
La situation est encore plus sévère avec les plateformes les plus sécurisées et les applications mobiles, où les réseaux cellulaires jouent un rôle. Les proxies mobiles sont la solution : derrière une IP d'opérateur se trouvent des milliers d'abonnés vivants, donc bloquer une telle adresse en masse signifie couper de vrais clients. Cet effet de « chaudière commune » fait des IP mobiles la monnaie la plus stable dans un monde où tout le reste est transparent.
Mais une IP propre ne suffit plus. Puisque la vérification de l'identité se déplace de la réseau vers la cryptographie, toute l'armée de bots non signés passe par l'empreinte comportementale et de navigateur : TLS/JA4, canvas, WebGL, polices, timings. Le proxy élimine un signal d'alarme (la réputation de l'adresse), mais ne supprime pas les autres. La combinaison de travail de 2026 — une IP résidentielle ou mobile plus un environnement anti-détection avec une empreinte cohérente. Un composant sans l'autre expose le bot au premier niveau de protection.
Comment agir dès maintenant
- Divisez les projets par voies. Si l'objectif est une intégration officielle au nom d'un grand produit, étudiez le chemin de l'agent signé : inscription auprès d'un CDN et obtention de clés. Pour tout le reste, planifiez le travail dans la « voie de tous les autres » et établissez ses règles.
- Investissez dans la qualité des IP, pas dans la quantité. Les pools de centres de données bon marché en 2026 deviennent de plus en plus un facteur d'arrêt. Misez sur des adresses résidentielles et mobiles avec rotation selon les besoins.
- Synchronisez l'empreinte avec le réseau. Une IP d'un pays, mais la langue du navigateur, le fuseau horaire et la locale d'un autre — c'est un échec classique. L'empreinte doit correspondre de manière cohérente à la géolocalisation du proxy.
- Restez informé sur la norme. D'ici août 2026, l'IETF prévoit de finaliser la spécification. Dès que Web Bot Auth deviendra une condition d'accès obligatoire sur une plateforme spécifique, la tactique pour celle-ci devra être révisée à l'avance, et non a posteriori.
Conclusion
Web Bot Auth n'est pas un autre anti-bot, mais un changement dans la logique même de la confiance sur le web : de « qui es-tu par IP » à « prouve par la cryptographie qui tu es ». Pour des géants comme Google et OpenAI, c'est un passeport pour un internet qui se ferme. Pour les scrapeurs indépendants et les projets multi-comptes, c'est un signal que les méthodes grises cessent définitivement de fonctionner, et que la fracture entre « paraître humain » et « paraître bot » devient décisive. Gagner dans cette nouvelle réalité ne sera pas une question de quantité d'IP, mais de posséder une adresse résidentielle ou mobile propre et une empreinte parfaitement cohérente. Le passeport cryptographique n'est pas délivré à tout le monde — donc, tous les autres devront être plus convaincants.
```