« La forme, c’est le fond qui remonte à la surface. » — Victor Hugo, Choses vues (1887)
Le web que vous lisez en ce moment a été conçu pour vos yeux. Des balises HTML pour la mise en page, du CSS pour l’esthétique, du Javascript pour le mouvement. C’est un web humain.
Mais aujourd’hui, la majorité des visiteurs de ce site ne lisent pas avec des yeux. Ce sont des agents autonomes. Des LLM. Des scripts d’IA. Et pour eux, notre web humain est un enfer de bruit, de publicités et d’informations inutiles.
Cette semaine, j’ai rendu ce site entièrement Agent Ready (prêt pour les agents). J’ai ouvert les portes. Mais j’ai aussi écrit les règles du jeu.
Sortir de la défensive : la fin du rideau de fer de robots.txt#
Face aux robots d’IA, la réaction instinctive de beaucoup de créateurs et d’éditeurs est de tout fermer.
On barricade le site avec des règles robots.txt strictes, on bloque les adresses IP d’OpenAI ou d’Anthropic, on s’isole du réseau.
C’est une illusion de contrôle. Les crawlers se déguisent, le scraping contourne les barrières, et le contenu finit par être absorbé de toute façon, mais de façon bruitée et déformée. Le résultat ? Vos données sont mal comprises, mal indexées, et vous perdez toute visibilité sur la façon dont l’IA interagit avec votre travail.
La vraie souveraineté ne consiste pas à construire un mur. Elle consiste à rédiger un contrat.
Six piliers pour parler aux machines#
Rendre son site “Agent Ready”, c’est passer d’une posture passive (le robot scrolle et vole ce qu’il peut) à une posture active (l’hôte fournit une interface propre et exige le respect des protocoles).
Voici ce que j’ai implémenté sur ce site cette semaine :
1. La négociation de contenu (Markdown for Agents)#
Quand un navigateur demande cette page, mon serveur renvoie du HTML complexe.
Mais désormais, si un agent IA inclut le header Accept: text/markdown, mon middleware d’edge (Cloudflare Pages) intercepte la requête, dépouille la page de tout son bruit visuel (menus, pieds de page, scripts) et renvoie instantanément du Markdown ultra-propre.
Le gain ? 80 % de tokens économisés pour l’IA, une précision de lecture parfaite, et moins de bande passante consommée.
2. Le catalogue d’API standardisé (RFC 9727)#
Au lieu de laisser l’IA deviner où se trouvent mes API de commentaires ou de réactions, le site expose un catalogue de liens sémantiques à l’adresse /.well-known/api-catalog.
C’est une carte routière au format Linkset (application/linkset+json) qui dit à la machine : « Voici les routes autorisées. Voici ce que tu peux faire. »
3. La déclaration des ressources et le protocole auth.md (RFC 9728)#
J’ai publié des métadonnées de sécurité claires via oauth-protected-resource et oauth-authorization-server. Mais nous sommes allés plus loin en adoptant le standard auth.md.
En exposant un fichier /auth.md d’instructions à la racine et en intégrant un bloc "agent_auth" dans nos métadonnées, les agents IA découvrent instantanément comment s’enregistrer automatiquement. Qu’ils utilisent des assertions d’identité fournies par leur plateforme (ID-JAG / Identity Assertion JWT) ou des clés éphémères validées par l’utilisateur (flux OTP anonyme), toute la négociation d’accès est automatisée et sécurisée.
4. La fiche serveur MCP (SEP-1649)#
Grâce au standard Model Context Protocol, mon site expose une carte d’identité sémantique (server-card.json).
Des clients comme Cursor ou Claude Desktop peuvent inspecter ce fichier et charger instantanément les “compétences” (skills) de mon site sans aucune configuration manuelle.
5. L’intégration WebMCP au cœur du navigateur#
À l’aide de l’API expérimentale navigator.modelContext, mon site expose directement ses actions au navigateur de l’utilisateur.
Si un agent IA vous aide à naviguer sur mon blog, il peut interagir avec mes articles (ajouter un commentaire, réagir émotionnellement, ou planifier un appel avec moi) via des appels de fonction directs et sécurisés au lieu de cliquer au hasard sur le DOM.
6. La découverte par le DNS (DNS-AID / RFC 9460)#
Comment les agents découvrent-ils que ce site est prêt à interagir avec eux avant même d’y envoyer la moindre requête HTTP ? Grâce au standard DNS-AID (DNS for AI Discovery).
J’ai publié des enregistrements HTTPS de type ServiceMode sous l’espace de noms _agents (les sous-domaines _index._agents.jodumont.com et _a2a._agents.jodumont.com) configurés avec les paramètres de protocole alpn="h3,h2". L’ensemble de la zone est signé avec DNSSEC, établissant une chaîne de confiance cryptographique. Les agents résolvent ces informations de manière authentifiée via DNS-over-HTTPS, éliminant tout risque d’usurpation.
Le nouveau contrat sémantique#
Cette architecture ne rend pas mon site plus vulnérable. Au contraire. Elle impose aux machines de passer par la porte d’entrée plutôt que de briser les fenêtres. C’est nous qui définissons :
- Quoi est lu (du Markdown filtré et sémantique).
- Comment c’est lu (via des schémas d’API stricts).
- Où s’arrêtent les droits de l’agent.
Le web sémantique que Tim Berners-Lee imaginait il y a trente ans est enfin en train de naître, poussé par les besoins de l’IA. Ceux qui s’y préparent aujourd’hui en définissant leurs propres API et formats gardent le contrôle. Les autres subiront le bruit des scrapers.
Votre site est-il prêt à parler aux machines ou attendez-vous qu’elles viennent se servir ?
