DataDome

Détection et authentification de l’agent ChatGPT : une nouvelle norme pour la gestion des bots

Table des matières

Le 7 juillet, OpenAI a annoncé le lancement de l’agent ChatGPT, un nouveau service capable d’exécuter des tâches complexes pour les utilisateurs en combinant des interactions textuelles, des capacités de navigation visuelle et des fonctions de ligne de commande pour des résultats optimaux.

ChatGPT réfléchit désormais et agit, choisissant de manière proactive parmi une boîte à outils de compétences agentiques pour accomplir des tâches à votre place en utilisant son propre ordinateur.

Une distinction clé différencie l’agent ChatGPT des autres services de bots d’OpenAI (OAI-SearchBot, ChatGPT-User, GPTBot et GPT Actions) : ses requêtes ne proviennent pas d’adresses IP identifiables ni d’un reverse DNS vérifiable (une méthode utilisée pour confirmer l’identité d’un bot en vérifiant si son adresse IP correspond à un nom d’hôte de confiance).

Dans cet article, nous montrons comment DataDome peut toujours identifier le trafic web provenant de l’agent ChatGPT, même si ses requêtes n’utilisent pas les identifiants classiques de bots, alors que le service d’OpenAI gagne rapidement en popularité et en adoption.

Agent ChatGPT, on te voit

Bien que l’agent ChatGPT ne s’appuie pas sur des adresses IP traditionnelles ou un DNS inversé pour l’authentification, il innove en exploitant des protocoles cryptographiques bien établis pour vérifier l’origine de ses requêtes.

Si les détails techniques dépassent le cadre de cet article (nous approfondirons son fonctionnement dans un prochain post), ce mécanisme permet de confirmer l’origine des requêtes. Après quelques premières vagues erratiques autour du 21 juillet, la popularité du service s’accélère clairement.

agent chatgpt

Quelle est la prochaine étape ?

Bien que l’agent ChatGPT soit conçu par OpenAI pour faciliter nos interactions en ligne, la réalité est que le trafic automatisé constitue souvent un problème majeur, couramment associé à la fraude en ligne.

S’appuyer sur des adresses IP publiées pour prouver l’intention d’un service de bot est une approche héritée qui ne correspond plus aux exigences du monde numérique dynamique de 2025. Il est temps de tirer parti et d’adopter des normes de vérification plus modernes.

Le 25 juillet, OpenAI a dévoilé une méthode d’authentification moderne : chaque requête est désormais accompagnée d’une signature cryptographique. Cela représente le nouveau standard, et tout service de bot souhaitant prouver sa légitimité devrait adopter cette approche.

La mise en œuvre de cette méthode nécessite un peu plus de configuration des deux côtés : les services de bots doivent publier leur clé publique, et les services en périphérie doivent vérifier la signature de chaque requête à l’aide de celle-ci. OpenAI a adopté le draft IETF pour l’implémentation technique de son service d’agents, une initiative que nous soutenons pleinement et que nous souhaitons contribuer à établir comme standard pour l’authentification des bots.

Restez à l’écoute pour un prochain billet technique sur cette nouvelle méthode moderne d’authentification des bots !