Cloudflare a dévoilé une proposition ambitieuse qui pourrait transformer la manière dont les plateformes Web identifient et gèrent le trafic automatisé.
L’entreprise américaine — pilier de l’infrastructure Internet mondiale — veut introduire un format de registre ouvert pour authentifier les bots et agents Web, une approche décentralisée basée sur des clés cryptographiques vérifiables, plutôt que sur les traditionnels systèmes d’identification par adresse IP.
Pourquoi ce changement est nécessaire ?
Historiquement, les serveurs identifiaient les bots à partir de leur adresse IP, un mécanisme efficace à l’époque des réseaux fixes. Mais aujourd’hui, les agents intelligents et les bots IA — moteurs de recherche, assistants, crawlers commerciaux — utilisent des infrastructures partagées, des proxys ou des adresses IP dynamiques.
Résultat :
- des faux positifs, où des bots légitimes sont bloqués,
- et des faux négatifs, où des bots malveillants passent entre les mailles du filet.
Cloudflare estime qu’il est temps d’adopter un système plus fiable, ouvert et vérifiable.
Comment fonctionne le nouveau format ?
Le registre ouvert proposé par Cloudflare permettra aux créateurs de bots de publier des clés publiques vérifiables, de manière standardisée. Ces clés seraient accessibles via des fichiers texte simples, hébergés sur des dépôts publics (comme GitHub) ou distribués par email, selon un format inspiré des standards du Web.
Exemple : un bot ChatGPT pourrait lister sa clé sur https://chatgpt.com/.well-known/agent-registry-keys. Un serveur Web pourrait alors interroger cette URL pour confirmer que le trafic provient bien du bot déclaré, sans passer par une autorité centrale.
En clair : au lieu de se fier à l’adresse IP d’un agent, on vérifie son identité cryptographique.
Un modèle décentralisé et interopérable
Cette approche marque une rupture avec les listes propriétaires et les filtres fermés utilisés jusqu’ici. N’importe qui — du développeur indépendant à la grande entreprise — pourrait maintenir son propre registre, interopérable avec d’autres.
Les bénéfices sont multiples :
- Commerce en ligne : distinguer clairement les bots d’achat légitimes des scrapers malveillants.
- Recherche et IA : éviter de bloquer par erreur les crawlers académiques.
- Interopérabilité : permettre aux plateformes de valider automatiquement les agents externes.
Cloudflare indique déjà travailler avec Visa et Mastercard pour appliquer ce principe à la sécurisation des agents commerciaux autonomes.
Un prolongement du travail sur Web Bot Auth
Ce projet s’appuie sur les précédents travaux de Cloudflare autour de Web Bot Auth, un système d’authentification cryptographique des bots lancé plus tôt. La différence : ici, le registre vise à standardiser et ouvrir le processus pour tout l’écosystème Internet, au-delà des seuls services Cloudflare.
Cloudflare présente cette innovation comme une étape vers une infrastructure de confiance universelle, fondée non sur la réputation d’une IP, mais sur une identité numérique vérifiée. Cela pourrait réduire les blocages abusifs, fluidifier les échanges entre sites et bots, et renforcer la sécurité globale du Web.
« Le futur du trafic automatisé doit reposer sur la cryptographie, pas sur la présomption », résume un ingénieur de Cloudflare cité dans le rapport.
Les défis à venir
Les experts saluent cette initiative, mais notent plusieurs défis :
- Adoption communautaire : le format doit devenir un standard reconnu, pas un simple outil Cloudflare.
- Gouvernance : qui arbitrera en cas de conflit entre clés ou d’abus ?
- Interopérabilité : il faudra convaincre les grands acteurs du web (Google, Amazon, Meta…) d’adopter le même protocole.
Cloudflare, fidèle à son ADN open source, publiera le format sur GitHub (github.com/cloudflare/agents), espérant y fédérer une communauté de développeurs et de chercheurs.
En lançant ce registre d’agents vérifiables, Cloudflare ne se contente pas d’une mise à jour technique : elle propose un nouveau paradigme de confiance sur Internet, où chaque bot, chaque agent, chaque assistant IA pourra prouver son identité de manière transparente et universelle.
Une petite révolution cryptographique pour un Web plus sûr, plus ouvert et plus collaboratif.