Preuve d'humanité
Pourquoi j'ai commencé à signer cryptographiquement mes textes — et pourquoi tu pourrais bien finir par en faire autant
Le contenu est désormais infini. La preuve qu'un humain l'a créé ne l'est pas.
Le plancher se dérobe
Quand j'ai décidé de me remettre à publier, j'ai regardé l'état du paysage. J'en avais déjà une vague idée — le contenu généré par IA est partout depuis des années — mais l'ampleur réelle m'a quand même frappé plus fort que prévu.
Des pipelines automatisés produisent du texte, des images, de l'audio et de la vidéo à un volume qu'aucun humain ne peut égaler. Le contenu lui-même est devenu une marchandise — non pas parce que la qualité n'a plus d'importance, mais parce que l'existence ne confère plus de valeur en soi. Un essai soigneusement rédigé est indiscernable, au premier coup d'œil, de mille approximations générées par une machine sur le même sujet. Les fermes à contenu ont empoisonné la source pour tout le monde.
La conséquence pratique : ce que tu as créé importe moins que la preuve que tu l'as créé.
La couche d'attribution
Ce n'est pas un problème nouveau — le plagiat et les fausses attributions ont toujours existé — mais la situation actuelle est différente en nature, pas en degré. Il ne s'agit plus d'une personne qui vole le travail d'une autre. Il s'agit d'un effondrement général du lien entre le contenu et tout être humain que ce soit. Quand l'hypothèse par défaut devient « c'est probablement généré », la charge de la preuve s'inverse. La question n'est plus est-ce volé mais est-ce réel.
La signature cryptographique résout ce problème. Pas parfaitement, pas pour toujours — mais mieux que rien, et mieux que ce que font la plupart des gens.
Un avantage inattendu
Vivre en Espagne se révèle utile ici. Tous les résidents — nationaux espagnols et étrangers en situation régulière, quiconque possède un DNI ou un NIE — peuvent obtenir gratuitement un certificat numérique auprès de la FNMT-RCM, la fabrique nationale espagnole de monnaie et de timbres. Ce n'est pas un gadget. Il a la même valeur légale qu'une signature manuscrite pour les démarches auprès des institutions publiques, la déclaration d'impôts, la signature de contrats.
Le certificat est lié à ton identité vérifiée par un processus de contrôle en personne. Quand tu signes quelque chose avec lui, tu produis une signature légalement valide qui te lie — toi, la personne physique qui s'est présentée avec son passeport — à ce document. La plupart des gens l'utilisent pour déclarer leurs impôts. Moi, je l'utilise pour signer mes articles.
Ce que fait vraiment le C2PA
Le standard de provenance que j'utilise est le C2PA — la Coalition for Content Provenance and Authenticity, développée conjointement par Adobe, Microsoft, la BBC et d'autres. Son résultat s'appelle un Content Credential.
Quand je termine un article, je compile un historique de sa création : enregistrements vocaux, transcriptions, historique des modifications — chaque étape significative, de la dictée brute au manuscrit final. Le C2PA transforme tout cela en un manifeste, une liste structurée d'assertions sur qui a créé le contenu, quand et comment. Chaque donnée est hachée — une empreinte courte dérivée mathématiquement du contenu, de sorte que modifier ne serait-ce qu'un seul caractère produit une empreinte complètement différente. Le manifeste est ensuite signé avec mon certificat FNMT.
Signer n'est pas chiffrer — autant être précis. Le chiffrement masque le contenu. La signature, c'est l'inverse : elle rend quelque chose publiquement lisible mais infalsifiable. N'importe qui peut inspecter le manifeste ; si quelqu'un le modifie, la signature se casse. La chaîne de certificats FNMT — qui remonte à l'État espagnol — lui confère un poids légal en plus de la preuve cryptographique.
Résultat : un fichier qui dit, sous une forme vérifiable par tout outil compatible C2PA — ce contenu a été créé par la personne qui détient ce certificat, à travers ces étapes, à ce moment précis.
L'ancrer dans la blockchain
Il reste une faiblesse dans un dispositif C2PA pur : l'horodatage. Le certificat FNMT prouve qui l'a signé, mais si l'horodatage ne vit que dans le manifeste, un adversaire déterminé pourrait arguer que l'horloge a été manipulée. Pour ça, j'utilise OpenTimestamps.
OpenTimestamps ancre l'existence d'un document à la blockchain Bitcoin — de façon permanente, sans avoir à faire confiance à qui que ce soit. Il prend l'empreinte de mon manifeste signé, la combine avec les empreintes d'autres documents soumis à peu près au même moment dans une structure appelée arbre de Merkle, et enregistre une seule empreinte — la racine de cet arbre — dans une transaction Bitcoin. Une fois confirmé, l'instant est verrouillé. Personne ne peut revenir en arrière et le modifier.
Mon document n'apparaît pas sur la blockchain — seulement son empreinte, enfouie dans un arbre d'autres empreintes. Mais c'est suffisant : je peux prouver mathématiquement que mon manifeste existait au plus tard au moment du bloc auquel il est ancré, et les horodatages du Bitcoin viennent du réseau lui-même, pas d'un tiers en qui j'aurais besoin d'avoir confiance.
C2PA plus OpenTimestamps : qui et quand, sous une forme qui ne repose pas sur ma seule parole.
Où ça mène
Le C2PA gagne du terrain. Le règlement européen sur l'IA, qui entre pleinement en vigueur cette année, impose un étiquetage de divulgation pour les contenus générés par l'IA — le champ d'assertion IA du C2PA en est le mécanisme naturel. Samsung a commencé à l'intégrer dans ses appareils photo l'année dernière. Adobe l'intègre à Creative Cloud depuis un moment.
Que le C2PA devienne la solution définitive, c'est une autre question. Il repose sur l'infrastructure PKI existante — le même système d'autorités de certification qui sous-tend HTTPS — avec ses propres hypothèses de confiance et ses modes de défaillance. Le problème fondamental qu'il résout — ancrer la paternité à une identité vérifiable à un moment précis — ne disparaîtra pas. De meilleurs outils viendront, ou du moins des outils différents.
Pour l'instant, c'est ce qui existe, et c'est déjà plus que ce que fait la plupart des gens. La barre pour prouver la provenance humaine n'est pas encore haute. C'est précisément pour ça qu'il vaut la peine de la franchir tôt.