Lorsque le trafic de l'IA dépasse celui des humains, comment prouver que vous êtes un vrai humain ?

Écrire l'article : Vaidik Mandloi

Traduction : Luffy, Foresight News

Depuis le lancement de ChatGPT fin 2022, le développement a engendré tout un écosystème d'intelligences artificielles. Actuellement, le trafic généré par ces programmes dépasse déjà celui de tous les utilisateurs humains dans le monde. Le comportement en ligne des IA est radicalement différent de celui des humains : elles ne naviguent pas sur des publicités, ne cliquent pas sur des liens, et ne font pas d'achats en ligne, elles se contentent de collecter des données pour accomplir leurs tâches, puis quittent immédiatement une fois la mission terminée.

La structure initiale d'Internet et sa logique commerciale étaient toutes deux centrées sur le comportement et les habitudes d’utilisation des humains. Mais aujourd’hui, la majorité des accès en ligne ne proviennent pas de véritables personnes, ce qui cause de nombreux problèmes aux grands sites web. À ce jour, 2,5 millions de sites ont commencé à bloquer les robots d’IA, et des plateformes comme Perplexity sont impliquées dans des litiges liés à ces blocages. Le fournisseur de services cloud Cloudflare a même créé un “labyrinthe de leurres”, utilisant du texte aléatoire généré par IA pour créer des pages en boucle infinie, piégeant ainsi divers types de robots de collecte de données.

Cependant, certains intelligences artificielles avancées ont déjà la capacité de contourner ces protections. Face à une lutte homme-machine de plus en plus intense, toute l’industrie commence à développer un système de vérification d’identité humaine plus fiable. Ce système doit pouvoir identifier précisément si l’opérateur derrière l’écran est un humain : en cas d’opération humaine, on observe des hésitations, des erreurs de frappe, et même de légers tremblements du curseur, caractéristiques du système nerveux humain. Cet article analysera les causes de cette révolution, deux principales approches technologiques, ainsi que le dilemme auquel nous serons confrontés : accepter une surveillance biométrique centralisée ou utiliser la preuve à divulgation zéro cryptographique pour une vérification anonyme.

L’IA bouleverse le modèle économique d’Internet

Les sites web commencent à bloquer les programmes d’IA, car celles-ci ont percuté simultanément deux piliers économiques d’Internet. La logique de profit traditionnelle repose sur l’attention des utilisateurs : en visitant des pages et en regardant des publicités, les éditeurs génèrent des revenus. Si une IA effectue des achats en ligne, elle peut rechercher simultanément sur 5000 sites, alors qu’un utilisateur humain ne consulte généralement que quatre ou cinq pages.

La vitesse de lecture de l’IA dépasse largement celle des humains : en quelques minutes, elle peut comparer les prix sur tout le web ou passer une commande, sans générer aucune impression publicitaire. Cela signifie que les sites supportent des coûts d’hébergement sans en tirer de revenus.

Par ailleurs, la recherche par IA continue de détourner le trafic des sites. Après l’ajout d’un résumé intelligent basé sur l’IA en haut des résultats de recherche de Google, seulement 8 % des utilisateurs cliquent sur le site d’origine, ce qui entraîne une chute de 33 % du trafic dirigé vers ces sites. En un an, cette fonctionnalité a attiré plus d’un milliard d’utilisateurs actifs mensuels, et le volume de recherches a doublé chaque trimestre depuis son lancement.

On se souvient peut-être de la plateforme d’aide aux devoirs Chegg, qui dépendait de son classement dans les résultats de recherche pour ses activités éducatives. Elle a récemment fermé sa section de questions-réponses, invoquant l’impact de ChatGPT. Les professionnels du contenu se trouvent pris en tenaille : d’un côté, des robots qui crawlant le contenu du site, de l’autre, des résumés IA qui interceptent le trafic avant que l’utilisateur n’arrive sur le site.

Les écarts de données sont également alarmants : chaque fois qu’un robot d’OpenAI génère un trafic de redirection vers un site partenaire, il collecte d’abord les données de 400 pages ; chez Anthropic, ce ratio atteint 38 000:1. Ces entreprises utilisent gratuitement des données publiques pour entraîner leurs modèles IA, puis détournent le trafic initialement destiné aux sites via leurs produits finis.

Dans d’autres secteurs, ce type de collecte de données prédatrice a déjà entraîné de nombreux procès, mais dans le domaine de l’IA, ces entreprises atteignent des valorisations de plusieurs milliers de milliards de dollars.

Votre corps, le nouveau mot de passe

Depuis 25 ans, le CAPTCHA (test de Turing pour différencier humains et machines) repose sur la reconnaissance d’images ou la saisie de caractères déformés. Son efficacité était due au fait que, à l’époque, la reconnaissance d’images par les machines était bien inférieure à celle des humains.

Aujourd’hui, la situation a complètement changé. Les programmes intelligents d’OpenAI, simulant des humains dans le système de vérification de Google, surpassent largement les humains : ils peuvent cliquer précisément sur des éléments, copier-coller du contenu, etc. Des photos générées par IA peuvent tromper les systèmes d’identification, et des vidéos de faux profonds peuvent même être utilisées par des criminels pour effectuer des transferts bancaires. La prémisse de la conception des méthodes traditionnelles — que la machine est moins capable que l’humain — n’est plus valable.

L’industrie doit désormais se concentrer sur des domaines que l’IA ne peut pas encore reproduire. Les caractéristiques comportementales lors de l’utilisation d’appareils électroniques, c’est-à-dire la biométrie comportementale, en fait partie. Des entreprises comme IBM ou BioCatch développent ces systèmes, qui non seulement vérifient l’identité lors de la connexion, mais surveillent aussi en permanence l’état d’utilisation de l’utilisateur. Les dimensions recueillies incluent la vitesse de déplacement du curseur, la façon de faire défiler la page, le rythme de frappe, la force des touches, les habitudes de suppression de texte, l’angle de prise en main du téléphone, etc., avec un gyroscope intégré enregistrant ces données en continu.

Le système peut aussi reconnaître la main dominante ou la trajectoire de glissement des doigts. IBM, par exemple, peut établir un profil comportemental unique à partir de seulement huit utilisations, puis comparer chaque nouvelle opération à cette référence en temps réel.

La technologie de BioCatch peut même détecter des scénarios de fraude en ligne. Lorsqu’une victime récite ses identifiants selon les instructions d’un escroc, le rythme de frappe désordonné est capté avec précision par le système. En un an, cette technologie a permis à 257 banques d’identifier environ 2 millions de comptes de blanchiment d’argent. L’Union européenne commence également à expérimenter la reconnaissance de la démarche. En seulement trois ans depuis l’émergence de l’ère IA, les agents frontaliers européens ont déjà commencé à collecter les données de marche des citoyens.

Des recherches ont aussi intégré l’effet Stroop : lorsque le mot “bleu” est écrit en vert, le cerveau humain réagit plus lentement en raison du conflit entre la signification du mot et la couleur visuelle, mais l’IA n’est pas affectée. Il a été démontré que cette interférence cognitive se manifeste directement dans le comportement de frappe. Les plateformes peuvent même, sans poser de questions spécifiques, déterminer si l’opérateur est humain simplement par le rythme de frappe, car cette habitude cache des traits de traitement de l’information propres à l’humain.

Les anciennes méthodes de suivi en ligne, qui enregistrent principalement la navigation, les clics ou la consommation, peuvent être contournées par le blocage des cookies, l’utilisation de VPN ou la désactivation de la géolocalisation. Mais la biométrie comportementale capture des caractéristiques instinctives du corps humain : la façon de déplacer le curseur, le rythme de frappe, qui sont difficiles à modifier volontairement.

Chaque individu possède des traits comportementaux aussi uniques que des empreintes digitales. Contrairement aux mots de passe ou clés, ce profil biométrique ne peut pas être changé ou réinitialisé. Dès que cette technologie sera généralisée, toutes les plateformes devront s’y adapter. Aujourd’hui, la technologie de synthèse vocale peut imiter parfaitement une voix humaine lors d’un appel, et la deepfake vidéo suit de près. Si cela devient la norme, la question centrale sera : qui contrôlera finalement ces données biométriques ?

Qui contrôlera le système de vérification humaine

Actuellement, deux grands camps se dessinent, explorant chacun une solution de vérification d’identité humaine.

Le premier est celui de Sam Altman avec World (anciennement Worldcoin). Les utilisateurs doivent se rendre devant un appareil de scan de l’iris en forme de sphère, qui collecte l’image de l’iris et génère une preuve cryptographique pour prouver qu’ils sont des personnes uniques. À ce jour, 18 millions de personnes dans 160 pays ont enregistré leur iris. D’ici avril 2026, World a conclu des partenariats avec Tinder, Zoom, DocuSign, et a lancé conjointement avec Coinbase l’outil AgentKit, permettant de lier un agent IA à une identité réelle, tout en protégeant la vie privée de l’utilisateur.

Mais la technologie de scan de l’iris est interdite dans plusieurs pays. La majorité des citoyens ne savent pas quels risques peuvent découler de l’autorisation de collecte de données biométriques, ce qui motive leur opposition. Une enquête du MIT Technology Review a révélé que, sans autorisation légale, World collecte aussi des données sur la fréquence cardiaque, la respiration, et d’autres signes vitaux, en plus de l’iris.

La seconde approche repose sur la preuve à divulgation zéro cryptographique, qui permet de prouver qu’on est humain sans révéler son identité réelle, sa localisation ou son apparence. Vitalik Buterin a proposé cette idée dès 2023. Selon lui, si un système décentralisé d’identité humaine n’est pas créé, Internet finira par se centraliser autour d’un contrôle d’identité. La concentration du pouvoir de vérification dans les mains d’entreprises ou de gouvernements entraînera une surveillance systémique.

Des tentatives de décentralisation de l’identité humaine ont déjà été faites, mais ont toutes échoué. Idena, par exemple, est l’un des premiers projets de blockchain visant à “une personne, une identité”. En deux ans, 40 % des comptes et 48 % des récompenses ont été contrôlés par 23 institutions. Des équipes en Inde ou en Russie louent des identités à des personnes à faible revenu, gagnant jusqu’à 55 fois leur salaire horaire. Des chercheurs ont même découvert que des identités d’enfants étaient utilisées comme comptes-poupées.

Vitalik avait anticipé ces risques. Il a déclaré que, pour un système d’identité humaine, la méthode la moins coûteuse d’attaque n’est pas la falsification profonde ou le piratage sophistiqué, mais l’embauche de personnes à faible revenu pour prêter leur identité. Tout système d’identification humaine nécessite un financement : appareils de scan, nœuds de vérification sur la blockchain, etc., qui demandent des investissements constants.

Mais si un certificat d’identité acquiert une valeur économique, un marché noir de la location d’identité apparaîtra. Dans un monde marqué par de fortes inégalités, les acteurs puissants contrôleront ce marché.

“Dans un système avec des incitations économiques réelles, imposer une règle de ‘une personne, une voix’ ne fera que répéter les erreurs des expériences sociales du XXe siècle.”

Objectivement, chaque voie présente des défauts évidents. La solution centralisée peut se déployer à grande échelle, mais les données biométriques seront conservées par des entreprises qui collectent excessivement, et ces entreprises profitent déjà de la prolifération des robots. La voie cryptographique, en théorie, protège la vie privée, mais ne peut pas résoudre le déséquilibre économique, laissant la porte ouverte à l’industrie grise.

Si je devais parier, je miserais sur la solution cryptographique. Car la biométrie comportementale et la reconnaissance par scan d’iris centralisé enregistrent à jamais votre corps, et la propriété de ces données appartient à ceux qui déploient ces systèmes. Une fois en leur possession, vous ne pouvez ni supprimer ni transférer ces données ; elles resteront verrouillées chez l’entreprise qui les a collectées.

Même si l’on sait que la preuve à divulgation zéro peut être exploitée, elle vaut la peine d’être développée, car elle permet de confirmer que vous êtes humain sans révéler d’informations supplémentaires. À l’inverse, si l’on abandonne cette voie, chaque site web que vous visitez conservera vos données de comportement corporel. Aujourd’hui, cette approche centralisée, avec ses propriétés de surveillance, progresse bien plus vite que la cryptographie.