Qu’est-ce que C2PA (Content Credentials) ? Un guide clair pour 2026
Les Content Credentials sont le nom grand public de C2PA pour une « étiquette nutritionnelle » signée, intégrée à un fichier — qui l’a créé, avec quel outil et comment il a été retouché. Voici ce que la norme prouve réellement, ce qui l’efface, et pourquoi le EU AI Act la rend décisive en 2026.
Par L’équipe Aipurity · 15 juillet 2026
À retenir
- C2PA est la norme ouverte ; « Content Credentials » est le nom grand public du manifeste de provenance signé intégré à un fichier.
- Il consigne qui a créé un fichier, avec quel outil et comment il a été retouché — signé cryptographiquement, si bien que toute altération casse la validation.
- Il est déjà présent dans DALL·E, Firefly, Sora et les appareils Leica/Sony, et le EU AI Act (août 2026) pousse le marquage vers l’obligation.
- Limite honnête : une capture d’écran ou un réencodage l’efface, et un justificatif absent ne prouve rien — présent-et-valide est une preuve, absent est inconnu.
Si vous avez déjà vu une petite icône « Cr » sur une image, ou lu qu’une photo possède des « Content Credentials », vous avez déjà croisé C2PA — généralement sans que personne n’explique ce que c’est. En clair : C2PA est une norme technique ouverte pour consigner l’origine d’un média, et Content Credentials est le nom grand public de ce que cette norme produit — un enregistrement inviolable, signé cryptographiquement et glissé à l’intérieur du fichier lui-même, qui indique qui l’a créé, avec quel outil et comment il a été retouché en chemin.
Voyez cela comme une étiquette nutritionnelle pour le contenu numérique. Elle ne juge pas si une image est « réelle » ou « fausse » — elle transporte un historique signé que vous pouvez vérifier. Ce guide explique ce qu’est réellement C2PA, qui se cache derrière, comment fonctionne la signature, à quoi cela ressemble dans les fichiers aujourd’hui et — tout aussi important — ce qu’il ne peut pas prouver.
C2PA contre Content Credentials : deux noms, une seule chose
Les deux termes sont utilisés de façon interchangeable, mais ils ne désignent pas tout à fait la même couche. C2PA — abréviation de Coalition for Content Provenance and Authenticity — est la spécification : la norme ouverte et publiée qui définit le format de fichier, la cryptographie et le modèle de données. Content Credentials est la marque et l’expérience utilisateur bâties par-dessus, de la même façon que « Bluetooth » est le nom grand public d’une norme sans fil que presque personne ne lit jamais. Quand un outil dit qu’il ajoute des Content Credentials, cela veut dire qu’il intègre un manifeste C2PA.
Qui se cache derrière C2PA ?
C2PA n’est pas le projet fétiche d’une seule entreprise. Elle a été fondée en 2021 comme un projet de la Joint Development Foundation sous l’égide de la Linux Foundation, fusionnant la Content Authenticity Initiative (CAI) d’Adobe avec Project Origin, une initiative menée par la BBC et Microsoft. Ses membres regroupent désormais les entreprises qui fabriquent les outils générant et capturant des médias :
- Logiciels et IA — Adobe (Photoshop, Firefly), OpenAI (DALL·E, Sora), Google, Microsoft et Meta.
- Fabricants d’appareils photo — Leica, Sony, Nikon et Canon, les entreprises qui signent les photographies au moment de la capture.
- Puces, médias et vérification — Intel, Arm, la BBC, Truepic et d’autres tout au long de la chaîne.
- La Content Authenticity Initiative (CAI), la communauté sœur d’Adobe, compte désormais des milliers d’organisations membres qui en promeuvent l’adoption.
Comment fonctionnent réellement les Content Credentials
Un fichier C2PA transporte un bloc de données supplémentaire — le manifeste — qui accompagne les pixels ou l’audio. Vous ne le voyez jamais sauf si vous le cherchez, mais il comporte quatre rouages qui méritent d’être compris.
1. Le manifeste
Le manifeste est le conteneur de tout ce qui touche à la provenance. Un seul fichier peut abriter tout un ensemble de manifestes — le plus récent décrivant la dernière retouche, les plus anciens conservant chaque état précédent. Il voyage à l’intérieur du fichier image, vidéo ou audio, pas dans une base de données séparée à laquelle vous devriez faire confiance.
2. Les assertions
Les assertions sont les déclarations individuelles que fait un manifeste : « créé avec Adobe Firefly », « ceci est une miniature », « ces actions ont été effectuées ». Une assertion compte plus que les autres pour la détection d’IA — l’IPTC digitalSourceType. Quand sa valeur est trainedAlgorithmicMedia, c’est la façon officielle et lisible par machine de l’industrie de dire « ceci a été généré par un modèle d’IA ». C’est l’étiquette qu’un détecteur cherche en premier.
3. La signature et le certificat
C’est ce qui fait de C2PA plus que des métadonnées modifiables. Les assertions sont hachées et liées dans une revendication, et cette revendication est signée avec un certificat délivré au signataire — Adobe, OpenAI, un fabricant d’appareils photo, ou quiconque détient un certificat valide. Modifiez un seul pixel ou changez un champ après la signature et les empreintes ne correspondent plus : le manifeste échoue à la validation plutôt que de mentir. Signé veut dire vérifiable, pas inviolable.
4. La chaîne d’ingrédients (historique des retouches)
Quand vous ouvrez une image signée, la retouchez et l’exportez, l’original devient un ingrédient du nouveau manifeste. Faites-le à répétition et vous bâtissez une chaîne — capture, recadrage, étalonnage, export — chaque étape signée, chacune renvoyant à la précédente. C’est ainsi que les Content Credentials peuvent montrer non seulement qui a créé un fichier, mais comment il a voyagé de l’appareil ou du modèle jusqu’à la version qui est devant vous.
La version en une ligne
C2PA ne vous dit pas qu’une image est vraie. Il vous donne un enregistrement signé et vérifiable de son origine et de ce qui lui est arrivé — et cet enregistrement se brise visiblement si quelqu’un le trafique.

À quoi ressemblent les Content Credentials dans les fichiers réels aujourd’hui
Ce n’est pas une spécification d’avenir — la provenance signée est déjà présente dans les outils grand public en ce moment même, et vous avez probablement déjà manipulé des fichiers qui la transportent :
- Images OpenAI DALL·E et ChatGPT — les téléchargements portent un manifeste C2PA qui les marque comme générées par IA.
- Adobe Firefly et Photoshop — les générations Firefly et de nombreux exports Photoshop attachent des Content Credentials, y compris l’historique des retouches par remplissage génératif.
- Vidéo OpenAI Sora — les clips Sora sont livrés avec un manifeste C2PA, aux côtés d’un filigrane visible sur les téléchargements depuis l’application.
- Appareils Leica, Sony et Nikon — le Leica M11-P a été le premier appareil à signer les photos à la capture ; Sony et Nikon ont ajouté les Content Credentials à leurs boîtiers pro par micrologiciel. Ceux-ci signent de vraies photographies, pas des sorties d’IA.
Ce qui transporte C2PA — et ce qui l’efface discrètement
Voici le hic honnête : un manifeste n’aide que tant qu’il survit. Voici l’état des lieux pour les fichiers que la plupart des gens rencontrent réellement.
| Source | Content Credentials ? | Ce que vous trouverez |
|---|---|---|
| Adobe Firefly / Photoshop | Oui | Manifeste signé avec générateur et historique des retouches |
| OpenAI DALL·E / ChatGPT | Oui | Manifeste signé indiquant une génération par IA |
| Vidéo OpenAI Sora | Oui | Manifeste C2PA plus un filigrane visible |
| Leica / Sony / Nikon (boîtiers pris en charge) | Oui | Provenance de capture signée par l’appareil |
| Téléchargement Midjourney web / Discord | Non | Aucun marqueur fiable lisible par machine |
| Une capture d’écran de tout ce qui précède | Non | Manifeste disparu — une capture ne copie que les pixels |
| La plupart des repartages sociaux (Instagram, X, WhatsApp) | Généralement effacé | Le réencodage supprime le manifeste dans la plupart des cas |
Pourquoi C2PA compte maintenant : le EU AI Act
La provenance était autrefois un plus appréciable. Une loi est sur le point d’en faire une obligation. L’article 50 du EU AI Act — les règles de transparence, applicables à partir du 2 août 2026 — impose aux fournisseurs d’IA générative de marquer leurs sorties synthétiques de façon lisible par machine, et impose aux déployeurs de divulguer les deepfakes. Le règlement ne nomme aucune technologie en particulier, mais C2PA est la principale implémentation vers laquelle l’industrie converge, ce qui explique précisément pourquoi OpenAI, Adobe, Google et Microsoft la déploient déjà. Attendez-vous à ce que la part des médias IA porteurs de Content Credentials vérifiables grimpe fortement à l’approche de l’échéance.
Les limites honnêtes — ce que C2PA ne prouve pas
Quiconque vend C2PA comme un détecteur de faux en exagère la portée. La norme est vraiment utile, mais ses limites comptent plus que ses promesses :
- Il peut être effacé. Une capture d’écran, un réencodage, un export via un outil qui ne le préserve pas, ou une plateforme qui recompresse les téléversements retireront le manifeste. Les pixels survivent ; la provenance, non.
- L’absence ne prouve rien. Un fichier sans Content Credentials n’est pas « vérifié humain ». Ce peut être une photo d’appareil, une image IA capturée, ou n’importe quoi entre les deux. Aucun justificatif signifie aucune information — pas l’innocence.
- Il prouve la provenance, pas la vérité. Un manifeste parfaitement valide peut signer une photo mise en scène ou trompeuse. C2PA vous dit d’où vient un fichier et s’il a été modifié après la signature — pas si la scène qu’il montre est honnête.
- Il n’est fiable que dans la mesure où l’est le signataire. La vérification confirme qu’un certificat est valide et que le contenu n’a pas été altéré ; il vous revient encore de décider si vous faites confiance à celui qui l’a signé.
La règle à retenir
Les Content Credentials prouvent la provenance quand ils sont présents, et absolument rien quand ils sont absents. Présent-et-valide est une preuve solide ; absent est simplement inconnu — ne lisez jamais un fichier dépouillé comme une preuve d’origine humaine.
Comment vérifier vous-même les Content Credentials
Vous n’êtes pas obligé de croire sur parole le badge d’une plateforme — le manifeste est vérifiable, et le vérifier est gratuit.
- Content Credentials Verify (contentcredentials.org/verify) — l’outil web officiel de la CAI. Déposez une image et il lit le manifeste, montrant le signataire, les assertions d’IA et de retouche, et l’historique des ingrédients.
- Les vérifications dans le navigateur d’Aipurity — nos outils image et vidéo analysent le manifeste C2PA signé en local, dans votre onglet, et présentent les mêmes preuves avec les réserves honnêtes qui les accompagnent. Rien n’est téléversé ; le fichier ne quitte jamais votre appareil.
- Cherchez l’épingle « Cr » — beaucoup d’applications affichent désormais une petite icône Content Credentials ; cliquer dessus ouvre les mêmes données de manifeste sous-jacentes.
C2PA contre SynthID : alliés, pas rivaux
Vous verrez souvent C2PA mentionné à côté de SynthID de Google, et il est facile de supposer qu’ils sont concurrents. Ils ne le sont pas — ils s’attaquent au même problème par deux bouts opposés. C2PA est une métadonnée signée attachée au fichier : riche et lisible par l’humain, mais retirable par une capture d’écran. SynthID est un filigrane invisible tissé dans les pixels, l’audio ou les jetons de texte eux-mêmes : il transporte bien moins d’informations et seul le vérificateur de Google peut le lire, mais il survit à de nombreuses retouches qui effaceraient un manifeste. L’un est une étiquette signée sur l’extérieur du colis ; l’autre est un colorant mélangé au contenu. Utilisés ensemble, ils comblent leurs lacunes respectives — c’est pourquoi les dispositifs de provenance sérieux emploient de plus en plus les deux.
En résumé
C2PA et les Content Credentials sont la réponse la plus crédible dont dispose l’industrie à « d’où vient ceci ? » — une norme ouverte, signée cryptographiquement, déjà présente dans les images de DALL·E, Firefly et Sora et les photographies de Leica et Sony, et sur le point d’être portée par la loi européenne. Ce n’est pas un détecteur de mensonges, et un justificatif absent ne vous dit rien. Mais quand un manifeste valide est présent, c’est la preuve d’origine la plus solide et la plus vérifiable dont nous disposions — ce qui explique précisément pourquoi la lire vaut mieux que deviner à partir des pixels.
Vous vérifiez plutôt une vidéo ?Vérifier la provenance d’une vidéo →Questions fréquentes
Qu’est-ce que C2PA en termes simples ?+
C2PA est une norme technique ouverte pour consigner l’origine d’un média. « Content Credentials » est le nom grand public de ce qu’elle produit : un enregistrement inviolable, signé cryptographiquement et intégré au fichier, qui indique qui l’a créé, avec quel outil et comment il a été retouché.
Quelle est la différence entre C2PA et Content Credentials ?+
C2PA est la spécification — le format de fichier et la cryptographie, issus de la Coalition for Content Provenance and Authenticity. Content Credentials est la marque et l’expérience utilisateur construites par-dessus. Quand un outil dit qu’il ajoute des Content Credentials, il intègre un manifeste C2PA.
C2PA prouve-t-il qu’une image est réelle ?+
Non. Il prouve la provenance, pas la vérité. Un manifeste valide peut signer une photo mise en scène ; il vous dit d’où vient un fichier et s’il a été modifié après la signature, pas si la scène est honnête. Et un justificatif absent n’est pas une preuve d’origine humaine — il signifie simplement aucune information.
Comment vérifier les Content Credentials d’une image ?+
Utilisez l’outil officiel Content Credentials Verify sur contentcredentials.org/verify, ou un vérificateur dans le navigateur qui lit le manifeste signé en local. Beaucoup d’applications affichent aussi une petite épingle « Cr » sur laquelle cliquer pour ouvrir les données de provenance sous-jacentes.
Sources
Écrit par
L’équipe Aipurity
L’équipe Aipurity conçoit des outils gratuits, centrés sur la provenance, pour distinguer les médias authentiques des médias synthétiques — en lisant les preuves qu’un fichier transporte réellement plutôt qu’en devinant à partir des pixels. Nous écrivons ce que nous pouvons prouver, et disons « non concluant » quand c’est la réponse honnête.


