Google expérimente une nouvelle vérification reCAPTCHA qui demande à l’utilisateur d’activer sa caméra et d’effectuer un geste de la main pour prouver qu’il est un humain et non un robot. L’idée vise à ralentir les bots, mais le test a déjà été contourné en quelques jours avec une simple photo, ce qui fait immédiatement douter de sa robustesse et de son coût en termes de confidentialité.

Êtes-vous un humain ? Agitez votre main
Le dispositif repose sur la reconnaissance des mouvements de la main à partir de 21 repères correspondant aux doigts et aux articulations. L’utilisateur doit effectuer un geste simple, comme agiter la main ou présenter une paume ouverte, pendant qu’un module dérivé de MediaPipe analyse la séquence. Google présente cette approche comme une réponse à des scénarios où les défis traditionnels ne suffisent plus, notamment contre la création automatisée de comptes.
Le problème est apparu presque immédiatement. Testeurs avoir réussi pour tromper le système avec une image fixe affichée via la caméra virtuelle d’OBS, sans recours à l’intelligence artificielle ni à la vidéo en direct. Dans ces conditions, la promesse de sécurité du geste s’effondre rapidement, même si la procédure ajoute une friction supplémentaire pour l’utilisateur.
😁 Le nouveau captcha de Google vous demande d’afficher les gestes de la main sur votre webcam, mais les gens le contournent déjà avec des photos d’archives
Ce système était censé être « le meilleur moyen de distinguer les humains de l’IA ».
Nous voilà à nouveau. https://t.co/Q3oK6yXwmY pic.twitter.com/RwR3mHnTsf
-VGTimes (@VGTimes) 29 juin 2026
Google précise que le test n’utilise pas d’audio et que la vidéo est supprimée après vérification. La collecte s’inscrit cependant dans le cadre de sa politique de confidentialité, ce qui a de quoi poser des questions sur l’usage de données proches de la biométrie. L’expérience ouvre donc un double front de critiques : une efficacité discutable contre les attaquants et une sensibilité accrue en matière de protection des données.
Les CAPTCHA classiques arrivent à saturation
Cette tentative intervient dans un contexte où les systèmes anti-bots traditionnels perdent du terrain. Les robots représentent désormais 58 % des requêtes HTTP mondiales, un seuil atteint plus tôt que Cloudflare encore prévu pour 2027. Les anciens CAPTCHA sont également de plus en plus vulnérables : en 2024, les modèles de détection d’objets ont obtenu 100 % de succès face à reCAPTCHAv2, et en 2025 un agent OpenAI a réussi un test Cloudflare en décrivant chaque étape à voix haute.
Dans ce climat, le test Google où il faut montrer la main ressemble à une transition incertaine. Il déplace le contrôle de l’image vers le geste, sans résoudre le problème sous-jacent : une machine peut aujourd’hui simuler ou contourner la plupart des preuves visuelles à une vitesse croissante. Le résultat est un système plus intrusif, sans aucune garantie de résistance supérieure.
Alors que Google expérimente cette voie, le secteur travaille déjà à un changement plus profond. Cloudflare, Google, Mozilla et Microsoft proposent une nouvelle norme cryptographique appelée Private Access Control Tokens (PACT). L’objectif est de remplacer les CAPTCHA par des preuves de légitimité délivrées de manière plus discrète, sans imposer de test visuel ou gestuel à l’utilisateur.
Cette approche vise à sortir du cercle vicieux où chaque nouveau défi finit rapidement par être battu par les robots. Si PACT réussit, la vérification humaine pourrait devenir plus simple, plus respectueuse de la vie privée et mieux adaptée à un Web où l’automatisation malveillante dépasse déjà la moitié du trafic. Le test manuel de Google montre avant tout une chose : la bataille contre les robots ne se gagnera plus avec un simple obstacle supplémentaire à l’écran.






