En mai 2026, Google a lancé Google Cloud Fraud Defense, présenté comme l'évolution de reCAPTCHA. Ce nouveau système exige que les utilisateurs scannent un code QR avec leur smartphone pour prouver qu'ils sont humains. Cependant, les experts soulignent que cette initiative constitue en réalité une version commercialisée du projet Web Environment Integrity (WEI), abandonné en 2023 sous la pression des organismes de normalisation et des défenseurs de la vie privée. Le mécanisme sous-jacent de Fraud Defense repose sur la vérification matérielle des appareils. Pour valider l'identité de l'utilisateur, le système interroge l'API Play Integrity de Google, accessible uniquement sur les appareils Android récents disposant de Google Play Services ou sur les iPhones et iPades. Cela signifie que les utilisateurs d'installations Android personnalisées comme GrapheneOS ou LineageOS, ainsi que ceux utilisant le navigateur Firefox pour Android, se retrouvent exclus par défaut, non pas parce qu'ils sont des robots, mais parce qu'ils refusent d'intégrer l'architecture de certification de Google. La controverse est profonde. En 2023, une proposition similaire nommée WEI avait été rejetée car elle menaçait d'instaurer un internet verrouillé par les fournisseurs de matériel et les systèmes d'exploitation, permettant à Google de déterminer légitimement quels contenus servir en fonction de l'appareil utilisé. Les organisations comme la Fondation pour les frontières électroniques de l'information (EFF) et Mozilla avaient alors dénoncé ce projet comme une tentative de rendre le web privé et exclusif. Aujourd'hui, sans processus de débat public, Google a transformé cette infrastructure de vérification en produit commercial, permettant à toute entreprise disposant d'un compte Google Cloud de l'utiliser. Au-delà des questions de gouvernance, la sécurité et la vie privée sont compromises. D'une part, l'efficacité réelle du système contre les robots est faible. Les opérateurs de fermes de robots peuvent contourner ce défi en utilisant de vrais appareils Android bon marché, coûteux à peine 30 dollars pièce, ou en automatisant la prise de photos d'écrans. D'autre part, la nouvelle méthode crée un risque majeur de phishing en habituant les utilisateurs à scanner des codes QR pour accéder à des sites web, une pratique que les campagnes malveillantes peuvent facilement exploiter. Le problème le plus insidieux concerne la traçabilité. Chaque vérification réussie envoie à Google un signal indiquant quel appareil certifié a accédé à quel site à quel moment. Cela transforme l'identité matérielle de l'utilisateur en un identifiant persistant capable de suivre ses activités sur le web ouvert, y compris en navigation privée, créant ainsi un profilage massif qui n'aurait pas pu se développer sous le format de proposition publique de 2023. Des alternatives techniques crédibles existent et ne posent pas ces problèmes. Des systèmes comme Private Captcha utilisent des défis cryptographiques basés sur le travail de calcul, rendant la résolution de tâches proportionnelle au volume et pénalisant les fermes de robots sans transmettre d'identifiants matériels ni violer la vie privée des utilisateurs. En définitive, Google Cloud Fraud Defense ne représente pas une amélioration fonctionnelle de la sécurité. C'est une extension de l'infrastructure de certification matérielle initialement rejetée, qui permet à Google d'accumuler des données d'attribution sur le web ouvert tout en excluant les utilisateurs soucieux de leur confidentialité, tout en échouant probablement à arrêter efficacement les bots sophistiqués.