Les Private Access Tokens, lus comme un signal de confiance.
L'industrie construit des jetons d'attestation cryptographique qui prouvent qu'une requête provient d'un appareil réel sans identifier l'utilisateur. CaptchaLa exploite ces jetons pour que les visiteurs vérifiés passent sans défi, et se rabat sur une vérification basée sur le risque pour tous les autres. Nous sommes complémentaires à l'attestation, et non remplacés par elle.
Ce que sont les jetons d'attestation
Un jeton d'attestation est une déclaration signée indiquant qu'une requête provient d'un navigateur ou d'un appareil authentique. L'appareil se prouve auprès de sa plateforme, la plateforme émet un jeton, et votre site reçoit le jeton au lieu de demander à la personne de résoudre un CAPTCHA. Le jeton ne porte aucune identité, il ne suit donc pas l'utilisateur d'un site à l'autre.
Sur le web, cela repose sur les Private Access Tokens et Privacy Pass (RFC 9576). Une extension plus récente, PACT — Private Access Control Tokens — a été proposée en juin 2026 par Cloudflare, Chrome, Firefox, Edge et Shopify pour élargir la manière dont ces jetons sont émis et utilisés.
L'objectif est de permettre aux vrais utilisateurs d'éviter les défis plus souvent, tout en gardant une vérification privée par conception.
PACT est une proposition à un stade précoce et son déploiement à grande échelle prendra des années. CaptchaLa prend en charge dès aujourd'hui le mécanisme existant Private Access Tokens / Privacy Pass et suit la proposition à mesure qu'elle évolue. Rien de tout cela ne vous oblige à attendre.
Comment CaptchaLa les utilise
Nous traitons un jeton d'attestation comme l'un des signaux de confiance parmi plusieurs, et non comme la décision entière. Le flux est simple :
Jeton vérifié, on saute le défi
Si un jeton d'attestation valide est présent, nous le vérifions avec la clé publique de l'émetteur. Un visiteur à faible risque muni d'un jeton vérifié passe sans défi interactif.
Repli sur la vérification basée sur le risque
S'il n'y a pas de jeton, ou s'il ne peut pas être vérifié, CaptchaLa utilise son propre moteur de risque — signaux d'appareil, de réseau et comportementaux — et n'affiche un défi que lorsque la requête paraît suspecte.
Où cela fonctionne : web et natif
L'attestation n'est pas identique partout. Voici une image exacte de ce qui fonctionne automatiquement et de ce qui nécessite votre configuration.
Web — Private Access Tokens / Privacy Pass
AutomatiqueSur le web, CaptchaLa vérifie les Private Access Tokens avec la clé publique de l'émetteur. Vous n'avez rien à configurer — les navigateurs et appareils pris en charge produisent le jeton, et nous le lisons.
iOS App Attest / Android Play Integrity
Optionnel, à configurerCes attestations natives sont liées à l'identité de développeur de votre propre application, et non à un émetteur public. Elles ne peuvent fonctionner que comme un signal optionnel que vous configurez pour votre propre application, elles ne sont donc pas automatiques pour tout le monde.
Applications natives autrement
Nos propres signaux de risqueLà où l'attestation de plateforme n'est pas configurée, les applications natives s'appuient sur les propres signaux de risque d'appareil et comportementaux de CaptchaLa — le même moteur qui protège le repli sur le web.
L'attestation dit « appareil réel ». Nous ajoutons « réel et sans abus ».
L'attestation peut confirmer qu'une requête provient d'un appareil authentique. Elle ne peut pas vous dire si cet appareil est utilisé pour abuser de votre service. C'est dans cet écart que réside la valeur durable de CaptchaLa — et elle ne disparaît pas lorsque l'attestation arrive.
Credential stuffing
Des appareils réels exécutant des listes volées de noms d'utilisateur et de mots de passe ressemblent toujours à des appareils réels pour un jeton d'attestation. Notre moteur de risque détecte le schéma.
Fermes de proxys et de bots
Les abus distribués depuis de nombreux appareils authentiques passent l'attestation mais échouent au scoring comportemental et réseau.
Abus d'OTP et d'inscription
La création de comptes en masse et le farming de mots de passe à usage unique proviennent de vrais téléphones. Nous évaluons l'intention, pas seulement l'authenticité de l'appareil.
Fraude et abus de contenu
La fraude au paiement, le spam et les téléversements nuisibles relèvent du comportement, que l'attestation ne mesure pas — et que notre moteur de risque et notre modération de contenu mesurent.
Prêt quand l'attestation le sera — et vous protégeant dès maintenant.
Offre gratuite incluse. Sans carte bancaire.