World ID 4.0 veut devenir la preuve que vous êtes humain. Lisez les petites lignes.

Internet se dote d'une couche qui distingue les humains des machines, opérée par une entreprise privée

Le 17 avril 2026, le projet World, soutenu par Sam Altman, a livré la plus importante version de son protocole d'identité, World ID 4.0, avec une promesse qui mérite l'attention de tout responsable sécurité. Le système affirme pouvoir confirmer qu'un être humain réel et unique, et le même à chaque fois, se trouve bien à l'autre bout d'une interaction numérique, sans rien apprendre de son identité. Le calendrier n'a rien d'innocent : les deepfakes passent désormais inaperçus en visioconférence, et les agents d'IA commencent à cliquer, acheter et signer au nom des personnes.

World appelle cela la preuve d'humanité de bout en bout. Débarrassée de son emballage marketing, l'idée revient à bâtir une couche manquante d'internet : un moyen fiable de distinguer une personne d'une machine. La prouesse technique est réelle. Les questions qu'elle soulève dépassent la technique.

Ce qui a réellement été lancé

La preuve d'humanité (proof of human, ou POH) en est le cœur : un justificatif qui atteste que vous êtes un être humain unique, ni robot ni identité synthétique, sans rien révéler d'autre sur vous. Ce justificatif est créé par un Orb, l'appareil de scan de l'iris conçu par World : il photographie les yeux, transforme la texture de l'iris en un code cryptographique baptisé IrisCode directement sur l'appareil, puis vérifie l'unicité de ce code dans une base de données sur blockchain grâce à une preuve à divulgation nulle de connaissance (un procédé qui démontre un fait, ici votre caractère nouveau et unique, sans exposer la donnée sous-jacente). Les images d'origine sont supprimées par défaut, et le code est fragmenté entre plusieurs serveurs distincts, de sorte qu'aucun d'eux ne détient une copie exploitable.

La version 4.0 réorganise tout autour de ce noyau. Elle ajoute la rotation des clés (une clé volée peut être remplacée sans perdre l'identité), l'entropie multipartite et des nullificateurs à usage unique (des mécanismes cryptographiques qui empêchent de relier deux de vos interactions entre elles), la récupération d'accès et une gestion formelle des sessions, ces fonctions austères qu'exigent les entreprises. La nouveauté phare, World la nomme continuité humaine : la preuve que la même personne réelle est présente d'une interaction à l'autre. Les systèmes actuels vérifient un appareil ou un compte, pas un humain : quiconque détient votre ordinateur ou votre clé matérielle peut agir à votre place. World a aussi lancé un Selfie Check qui vérifie sans Orb, des outils de délégation aux agents comparés à une procuration confiée à votre assistant d'IA, et une application World ID.

• Près de 18 millions de personnes, dans 160 pays, se sont fait vérifier devant un Orb, et World affirme que les justificatifs ont été utilisés des centaines de millions de fois.
• Les partenaires de lancement n'ont rien d'anecdotique : Zoom appose un badge aux humains vérifiés pendant les appels pour contrer les deepfakes, tandis qu'Okta, Docusign et Tinder intègrent la preuve d'humanité à la connexion, aux contrats et aux rencontres.
• World ID for Agents vise à rattacher chaque agent d'IA à un humain vérifié qui se tient derrière lui, la réponse du protocole à un internet qui se remplit de logiciels autonomes.

Pourquoi un responsable sécurité doit s'y intéresser, sans baisser la garde

L'argument défensif tient debout. Si un deepfake peut se glisser dans la visioconférence de votre service financier, un badge de preuve d'humanité attribué à chaque participant est bien plus difficile à falsifier qu'un visage. À mesure que les agents se multiplient, savoir qu'une personne vérifiée a autorisé une action devient un contrôle précieux. C'est tout l'enjeu des intégrations : la preuve d'humanité quitte la curiosité crypto pour entrer dans la gestion des identités et des accès, le terrain où votre organisation évolue déjà. Mais la critique est tout aussi solide, et elle émane de voix sérieuses. Edward Snowden et plusieurs praticiens de la sécurité alertent : concentrer l'identité biométrique des personnes au sein d'une seule entreprise privée crée un point de défaillance unique et un gardien sans contre-pouvoir. David Shipley, de Beauceron Security, oppose ce modèle à celui d'Apple, où la biométrie ne quitte jamais l'appareil, et soutient que la preuve d'identité humaine relève d'un bien public, qui ne devrait pas être vendu par une société privée. Un problème technique plus profond se cache dessous : un iris, comme une empreinte digitale, ne se réinitialise pas. Si le lien entre une personne et son justificatif venait à être rompu ou volé, on ne réémet pas un œil. La réponse de World tient dans une cryptographie lourde, l'anonymisation, la conservation sur l'appareil et la rotation des clés, ce qui traite la couche du justificatif, mais pas le caractère permanent de la biométrie elle-même. Le glissement de fond à soupeser est là : l'ère de l'IA crée une demande réelle d'une couche humaine d'internet, et quiconque la fournit dispose d'un levier considérable sur le droit de chacun à participer en ligne. Plusieurs États ont déjà réagi : World est interdit ou suspendu au Kenya, au Brésil, en Indonésie, à Hong Kong et en Espagne pour des motifs de protection des données.

Les bons réflexes

1. Traitez la preuve d'humanité comme un signal, jamais comme toute votre pile d'identité. Intégrez-la à côté de vos mécanismes d'authentification et d'autorisation existants, car un fournisseur externe unique de l'identité humaine est précisément la dépendance centrale sur laquelle votre architecture ne devrait pas reposer seule.
2. Exigez les preuves de traitement des données avant d'adopter. Demandez où la biométrie est traitée, ce qui est supprimé et s'il existe des audits indépendants, et rappelez-vous qu'une biométrie qui fuit est définitive, là où un mot de passe se change.
3. Ne confondez pas un humain vérifié avec une action approuvée. Pour la délégation aux agents, conservez une étape de validation humaine explicite pour les paiements et les décisions à fort impact : prouver qu'une personne se tient derrière un agent ne prouve pas qu'elle a relu ce que l'agent vient de faire.

À retenir

World ID 4.0 est la tentative la plus sérieuse à ce jour de résoudre un problème que l'ère de l'IA a rendu urgent : distinguer en ligne les humains des machines. La cryptographie est solide et les usages résistants aux deepfakes sont convaincants. La vraie question n'est pas de savoir si la technologie fonctionne, mais si la preuve d'humanité d'internet doit loger au sein d'une seule entreprise privée, adossée à une biométrie que nul ne pourra jamais changer. Évaluez-la comme un signal utile, pas comme une fondation, et lisez l'annonce officielle de World en regard des critiques sur la vie privée avant de la brancher à quoi que ce soit d'important.