Web Bot Auth : Google veut signer ses agents IA, et le SEO technique va devoir suivre

Google vient de documenter un test discret : Web Bot Auth. Mauvais réflexe : l’ignorer parce que ce n’est ni une Core Update, ni un nouveau rapport Search Console. Bon réflexe : comprendre ce que ça annonce.

Jusqu’ici, beaucoup de sites identifient les robots avec trois signaux : le user-agent, l’IP et le reverse DNS. C’est utile, mais imparfait. Un user-agent se copie. Une IP change. Une règle WAF trop brutale bloque parfois un bon robot avec les mauvais.

Web Bot Auth ajoute une couche cryptographique. Un agent signe sa requête HTTP avec une clé privée. Le site vérifie cette signature avec une clé publique publiée à une adresse connue. Dans le test Google, une partie du trafic Google-Agent peut être authentifiée comme https://agent.bot.goog, avec un header Signature-Agent et des clés dans un répertoire .well-known.

Dit autrement : Google prépare un web où les agents IA devront prouver leur identité, pas seulement la déclarer.

Ce que Google teste vraiment

Google précise que le dispositif est expérimental. Tous les agents Google ne signent pas leurs requêtes. Toutes les requêtes des agents compatibles ne sont pas signées. Google recommande encore de conserver les méthodes classiques : IP, reverse DNS et user-agent.

Mais le signal est net. Web Bot Auth s’appuie sur les HTTP Message Signatures, standardisées dans la RFC 9421. Le chantier passe aussi par l’IETF, avec un groupe de travail Web Bot Auth lancé début 2026. Cloudflare fournit déjà une implémentation de référence. Les CDN, WAF et services anti-bots commencent à se positionner.

Pourquoi ça concerne le SEO

Le SEO technique a toujours eu une obsession saine : laisser passer Googlebot et bloquer le bruit. En 2026, ce bruit n’est plus seulement du scraping basique. Ce sont des crawlers IA, des agents de recherche, des outils de monitoring, des collecteurs de données, des bots qui consomment du contenu pour produire des réponses sans visite.

Le problème : tout le monde se présente comme un bon robot.

Pour un site éditorial, e-commerce ou SaaS, la question n’est plus seulement : “Google peut-il crawler mes pages ?” La vraie question devient : “Quels agents automatisés ont accès à mes contenus, à quel coût serveur, avec quelle valeur business et quelle preuve d’identité ?”

Le risque : bloquer l’avenir en voulant bloquer le spam

Je vois déjà le mauvais scénario arriver. Des sites subissent du crawl IA agressif. Ils durcissent Cloudflare ou leur WAF. Ils bloquent des plages entières, des user-agents génériques, parfois tout ce qui ressemble à un bot. Résultat : moins de spam, mais aussi moins de visibilité dans les couches de recherche qui comptent demain.

C’est une erreur classique : confondre sécurité et cécité.

Un bon réglage doit distinguer quatre familles :

• les robots de recherche indispensables ;
• les agents IA identifiés et utiles ;
• les outils SEO ou monitoring internes ;
• les scrapers anonymes, coûteux ou abusifs.

Ce qu’il faut auditer maintenant

Pas besoin de réécrire toute l’infrastructure cette semaine. En revanche, il faut arrêter de piloter le crawl au doigt mouillé.

Premier audit : les logs serveur. Combien de requêtes viennent de Googlebot, Google-InspectionTool, GoogleOther, Google-Agent, Bingbot, GPTBot, PerplexityBot, ClaudeBot ou d’autres agents ? Sur quelles URLs ? Avec quels codes HTTP ? À quelle fréquence ?

Deuxième audit : les règles CDN/WAF. Les règles actuelles utilisent-elles seulement le user-agent ? Font-elles du reverse DNS pour Googlebot ? Existe-t-il une allowlist propre ? Les blocages 403 touchent-ils des ressources utiles au rendu, comme JS, CSS, images ou endpoints JSON ?

Troisième audit : le coût. Un crawler qui aspire 50 000 URLs inutiles par jour n’a pas la même valeur qu’un agent qui cite trois pages transactionnelles dans une réponse IA. Le SEO moderne doit mesurer le crawl utile, pas seulement le volume de crawl.

Mon avis

Web Bot Auth ne va pas faire monter une page de position 8 à position 3. Ce n’est pas ce genre de sujet. Mais c’est typiquement le détail technique qui sépare les sites pilotés des sites subis.

La recherche devient agentique. Les bots deviennent clients, lecteurs, intermédiaires et parfois concurrents. Dans ce contexte, l’identité du robot devient une donnée SEO.

Ma recommandation est simple : ne bloquez pas tout, ne laissez pas tout ouvert. Construisez une politique de crawl lisible. Logs, reverse DNS, IP ranges, signatures quand elles arrivent, règles WAF documentées. C’est moins glamour qu’AI Mode. C’est plus concret.