# Score Agent Readiness : les 11 fichiers /.well-known/ à publier en 2026
> Cloudflare a lancé un score Agent Readiness le 17 avril 2026. Voici les 11 endpoints /.well-known/ qui font passer un site DTC de 25 à 90, avec exemples copiables et ce qui marche vraiment.
- Canonical HTML: https://verityscore.io/fr/blog/well-known-agent-ready/
- Markdown alternate: https://verityscore.io/fr/blog/well-known-agent-ready.md
- Language: fr
- Content type: blog
- Published: 2026-04-25
- Updated: 2026-04-25
- Tags: well-known, agent-readiness, geo, aeo, ia, agent-card, llms-txt, web-bot-auth, mcp, shopify
# Score Agent Readiness : les 11 fichiers /.well-known/ à publier en 2026

**En 60 mots** : Cloudflare a lancé le 17 avril 2026 un score 0-100 qui mesure la lisibilité d'un site par les agents IA. Premier verdict mondial : 78% des sites ont un robots.txt, mais 4% seulement déclarent leurs préférences IA et moins de 15 sites supportent les MCP Server Cards. Voici les 11 endpoints /.well-known/ qui font passer un site DTC de 25 à 90, avec exemples copiables et ce qui marche vraiment.

## Pourquoi cet article maintenant

Le 17 avril 2026, Cloudflare a publié [isitagentready.com](https://isitagentready.com), un scanner qui note les sites de 0 à 100 sur leur préparation aux agents IA. C'est la première mise en concurrence publique des sites e-commerce sur ce critère. La même semaine, le draft IETF Web Bot Auth est passé en version 05, l'A2A AgentCard a été enregistré au registre IANA, et Mark Nottingham a publié `draft-nottingham-rfc8615bis-02` pour réviser la RFC qui gouverne tous ces endpoints.

Le terrain est inhabituel : un sujet central, une concurrence vide en français, et des données fraîches qui démentent une bonne partie de ce que le marketing GEO racontait jusqu'ici.

## Qu'est-ce qu'un fichier /.well-known/ ?

Un fichier `/.well-known/` est un endpoint standardisé (RFC 8615) que les sites publient à la racine de leur domaine pour exposer des métadonnées lisibles par des machines. En 2026, les agents IA et les serveurs de vérification y cherchent des fichiers comme `security.txt`, `agent-card.json`, ou la clé publique Web Bot Auth pour comprendre votre site et vérifier l'authenticité des bots qui s'y connectent.

Le standard date de mai 2019 (RFC 8615, Mark Nottingham). Il définit un préfixe d'URL réservé `/.well-known/` qu'aucune application ne doit utiliser pour autre chose qu'un endpoint de découverte enregistré à l'IANA. Le registre officiel contient aujourd'hui une cinquantaine d'entrées, dont une vingtaine sont pertinentes pour un site web standard.

## Comment Cloudflare note l'agent readiness

Le score 0-100 d'isitagentready.com repose sur 4 dimensions :

| Dimension | Ce qui est testé |
|---|---|
| Discoverability | robots.txt, sitemap, Link headers, présence des bots IA dans les directives |
| Content Accessibility | Négociation Markdown via Accept header, fidélité contenu HTML vs Markdown |
| Bot Access Control | Content Signals dans robots.txt, Web Bot Auth |
| Capabilities | MCP Server Card, OAuth Protected Resource, protocoles commerce (x402, MPP, UCP, ACP) |

Le premier rapport mondial publié par Cloudflare le 17 avril 2026 chiffre l'écart entre la maturité technique disponible et son adoption réelle :

- 78% des sites ont un `robots.txt`
- 4% déclarent leurs préférences IA via Content Signals
- 3,9% supportent la négociation Markdown
- Moins de 15 sites au monde exposent un MCP Server Card

C'est l'écart qui fait du sujet un levier d'autorité immédiat : il ne faut pas être en avance de phase pour passer de "site basique" à "top mondial", il suffit de publier 5 fichiers correctement.

## Les 11 endpoints en 3 tiers

Tous les articles GEO mélangent RFC ratifiés, drafts IETF et propositions privées. C'est l'erreur méthodologique principale du domaine. Un endpoint en RFC standardisé depuis 7 ans n'a pas le même statut qu'une SEP ouverte il y a 6 mois sur GitHub. Voici la séparation claire.

### Tier 1 — RFC ratifiés à publier sans réserve

Ces 5 endpoints sont des standards stabilisés. Aucune raison de ne pas les publier en 2026.

#### 1. `/.well-known/security.txt` (RFC 9116)

Permet aux chercheurs en sécurité de signaler une faille. Signal de maturité technique reconnu par Google, les scanners de sécurité, et les outils de bug bounty.

**Modèle conforme (GitHub)** :

```
Contact: https://hackerone.com/votre-marque
Acknowledgments: https://hackerone.com/votre-marque/hacktivity
Preferred-Languages: fr, en
Canonical: https://votre-marque.com/.well-known/security.txt
Policy: https://votre-marque.com/security-policy
Hiring: https://votre-marque.com/jobs
Expires: 2027-04-25T00:00:00Z
```

**Erreur fréquente vérifiée le 25 avril 2026** : le `security.txt` de Stripe a un champ `Expires: 2025-12-31`, donc expiré depuis 4 mois et non conforme RFC 9116. Celui de Shopify n'a ni `Expires` ni `Canonical`. Ces deux exemples sont le contre-modèle. La date d'expiration doit être inférieure à 1 an dans le futur, et un cron doit la régénérer automatiquement.

#### 2. `/.well-known/change-password`

Une simple redirection HTTP 302 vers la page de changement de mot de passe. Spec WHATWG, supportée par tous les password managers (1Password, iCloud Keychain, Bitwarden) pour proposer le changement après une fuite.

**Implémentation Nginx** :

```nginx
location = /.well-known/change-password {
    return 302 /account/security;
}
```

**Vérifié** : GitHub, Google, Facebook, Twitter renvoient bien un 301/302. Shopify renvoie 404, donc ne supporte pas le standard nativement. À publier via App Proxy ou Cloudflare Worker.

#### 3. `/.well-known/openid-configuration` et `/.well-known/oauth-authorization-server`

Endpoints OpenID Connect Discovery (2013) et OAuth 2.0 Authorization Server Metadata (RFC 8414, 2018). Pertinents si vous opérez un serveur d'authentification ou si votre site offre du SSO.

Pour un site DTC sans portail client OAuth, ces endpoints peuvent être absents sans pénalité majeure. Si présents, le payload doit lister `issuer`, `authorization_endpoint`, `token_endpoint`, `jwks_uri`, et `scopes_supported`.

#### 4. `/.well-known/mta-sts.txt` (RFC 8461)

Politique de sécurité email. Vit sur le sous-domaine `mta-sts.votremarque.com`, pas sur le domaine racine.

**Modèle Gmail (mode enforce, production)** :

```
version: STSv1
mode: enforce
mx: smtp.google.com
mx: gmail-smtp-in.l.google.com
mx: *.gmail-smtp-in.l.google.com
max_age: 86400
```

**Modèle rollout (mode testing)** :

```
version: STSv1
mode: testing
mx: in1-smtp.messagingengine.com
mx: in2-smtp.messagingengine.com
max_age: 86400
```

Pour un site DTC, démarrer en `testing` pendant 30 jours, surveiller les rapports TLS-RPT, puis passer en `enforce`. C'est le seul endpoint de ce tier qui demande une coordination avec votre fournisseur email.

#### 5. `/.well-known/agent-card.json` (A2A Protocol)

Enregistré au registre IANA le 1er août 2025, statut permanent. Spec maintenue sur a2a-protocol.org, donnée à la Linux Foundation par Google le 23 juin 2025. Membres fondateurs : AWS, Cisco, Google, Microsoft, Salesforce, SAP, ServiceNow.

**Vérification du marché au 25 avril 2026** : Anthropic, OpenAI, Vercel, Shopify, GitHub ne publient PAS d'agent-card. C'est précisément l'opportunité. Publier un agent-card conforme aujourd'hui place votre marque dans un peloton de tête de quelques dizaines de sites au monde.

**Modèle minimal A2A v1** :

```json
{
  "name": "Votre Marque",
  "description": "Marque DTC de cosmétiques clean. Boutique principale et catalogue produit.",
  "version": "1.0.0",
  "url": "https://votre-marque.com",
  "documentationUrl": "https://votre-marque.com/aide",
  "provider": {
    "organization": "Votre Marque SAS",
    "url": "https://votre-marque.com",
    "contactEmail": "agents@votre-marque.com"
  },
  "capabilities": {
    "streaming": false,
    "pushNotifications": false,
    "stateTransitionHistory": false
  },
  "skills": [
    {
      "id": "product-discovery",
      "name": "Product Discovery",
      "description": "Catalogue de 120 produits sérum et soins. Filtres par type de peau, concerns, ingrédients actifs.",
      "tags": ["beauty", "skincare", "dtc"]
    }
  ],
  "authentication": { "schemes": ["none"] }
}
```

### Tier 2 — Draft IETF mais déjà en production

Un seul fichier dans cette catégorie, et c'est le plus stratégique de tous.

#### 6. `/.well-known/http-message-signatures-directory` (Web Bot Auth)

Le seul `/.well-known/` avec une adoption opérateur réelle et mesurable en avril 2026. Draft IETF `draft-meunier-http-message-signatures-directory-05` publié le 2 mars 2026, applique RFC 9421 (HTTP Message Signatures). Working Group `webbotauth` formellement créé par l'IETF.

**Opérateurs qui publient leur clé publique Ed25519** (vérifié le 25 avril 2026) :
- ChatGPT Agent (OpenAI) — `https://chatgpt.com/.well-known/http-message-signatures-directory`
- Goose (Block)
- Browserbase — `https://www.browserbase.com/.well-known/http-message-signatures-directory`
- Anchor Browser
- Cloudflare Browser Rendering

**Côté serveur** : Cloudflare et AWS WAF vérifient ces signatures dans leurs programmes Verified Bots.

**Forme exacte des headers envoyés par un agent signé** :

```
Signature-Agent: "https://chatgpt.com"
Signature-Input: sig1=("@authority" "signature-agent");created=1735689600;expires=1735693200;keyid="otMqcjr17mGyruktGvJU8oojQTSMHlVm7uO-lrcqbdg";tag="web-bot-auth";alg="ed25519"
Signature: sig1=:base64url-Ed25519-signature==:
```

**Modèle JWKS publié à votre endpoint** :

```json
{
  "keys": [
    {
      "kid": "abc123-thumbprint-jwk",
      "crv": "Ed25519",
      "kty": "OKP",
      "x": "votre-cle-publique-base64url",
      "use": "sig",
      "nbf": 1735689600,
      "exp": 1777673926
    }
  ],
  "signature_agent": "https://votre-marque.com",
  "purpose": "ai"
}
```

Pour un site DTC qui ne fait que recevoir des requêtes (pas un agent émetteur), cette dimension du score reste vide sans pénalité critique. Pour un éditeur de SaaS ou un opérateur d'agent, c'est devenu un standard de facto.

### Tier 3 — Propositions privées, statut variable

Ces 5 endpoints sont des propositions de spec, des fichiers à la racine non standardisés, ou des SEPs en draft. Honnêteté requise : ils ne sont pas tous prêts pour la production.

#### 7. `/llms.txt` (racine, pas /.well-known/)

Spec proposée par Jeremy Howard (AnswerDotAI) le 3 septembre 2024. Vit à la racine du domaine, pas dans `/.well-known/`. Une issue GitHub a proposé `/.well-known/llms.txt` mais la spec a maintenu la racine.

**Données mesurées sur l'efficacité réelle** :
- L'étude [OtterlyAI](https://otterly.ai/blog/the-llms-txt-experiment/) sur 90 jours et 62 100 visites bot IA mesure llms.txt à **0,1% du trafic IA**.
- L'étude [Search Engine Land](https://searchengineland.com/does-llms-txt-matter-467740) sur 10 sites et 180 jours conclut : 8 sites sans aucun changement mesurable, 2 gains attribuables à du contenu nouveau, pas au fichier.
- John Mueller (Google) compare publiquement llms.txt au meta keywords tag.
- L'adoption mesurée par SE Ranking sur 300 000 domaines est de 10,13%.

**Conclusion honnête** : publier llms.txt est utile comme signal de crédibilité technique, comme aide aux outils dev (Cursor, Continue, Aider), et comme assurance contre une éventuelle adoption future par un grand modèle. Le présenter comme un levier de trafic IA n'est pas sourcé.

**Format minimal** :

```
# Votre Marque

> Marque DTC fondée en 2018, sérums vitamine C clean et soins ingrédients courts. 120 références.

## Catalogue

- [Sérum Vitamine C 12%](https://votre-marque.com/products/serum-vitc): Brightening daily, peaux normales à mixtes
- [Crème hydratante](https://votre-marque.com/products/creme-hydratante): Texture légère, peaux sensibles

## Engagements

- [Composition INCI complète](https://votre-marque.com/inci): Toutes les fiches détaillées
- [Made in France](https://votre-marque.com/fabrication): Laboratoire Cosmébio à Lyon
```

#### 8. `/.well-known/mcp/server-card.json` ou `/.well-known/mcp` (MCP, draft)

Deux propositions actives dans le repo modelcontextprotocol :
- **SEP-1649** : `/.well-known/mcp/server-card.json` avec `serverInfo`, `transport`, `capabilities`, `authentication`, `tools`, `prompts`. Ouverte le 14 octobre 2025.
- **SEP-1960** : `/.well-known/mcp` avec enumeration et auth discovery.

**Au 25 avril 2026, aucune n'est mergée dans la spec MCP core.** Anthropic, Cloudflare, Shopify ne publient pas ces fichiers. Pour aujourd'hui, exposer votre serveur MCP directement via `mcp.votremarque.com/mcp` et le référencer dans le champ `mcpEndpoint` de votre agent-card.json. Attendre la stabilisation des SEPs avant d'investir.

#### 9. `/.well-known/api-catalog` (RFC 9727, décembre 2024)

RFC ratifié récemment, mais adoption marginale. Permet de pointer vers un fichier décrivant les APIs publiques de votre domaine. Pertinent si vous exposez une API publique documentée. Pour un site DTC vitrine, peut être omis sans pénalité.

#### 10. `/.well-known/oauth-protected-resource` (RFC 9728, octobre 2024)

Métadonnées d'une ressource protégée OAuth. Référence pour OAuth 2.1. Comme api-catalog, pertinent pour les éditeurs SaaS plutôt que les sites DTC.

#### 11. `/.well-known/ai-plugin.json` (déprécié, à connaître)

Format historique des ChatGPT Plugins. Déprécié par OpenAI le 9 avril 2024, remplacé par les Custom GPTs puis MCP. À mentionner uniquement comme contre-exemple : un endpoint `/.well-known/` peut tomber en désuétude rapidement quand son sponsor pivote. Ne pas l'implémenter en 2026.

## Ce qui marche vraiment, ce qui ne marche pas

Cette section dit ce que les autres articles GEO ne disent pas, parce que les sources primaires le démentent.

### Ce qui marche

**Web Bot Auth** est le seul `/.well-known/` avec une adoption serveur réelle. Cloudflare l'utilise pour identifier ChatGPT Agent (tag `chatgpt-agent`, detection ID 129220581). AWS WAF l'a intégré en novembre 2025. C'est le mécanisme qui distingue un agent légitime d'un crawler stealth.

**security.txt** et **mta-sts.txt** sont des standards matures consultés par les scanners de sécurité, les outils de réputation email (Talos, Spamhaus), et les programmes de bug bounty. Publier un security.txt conforme RFC 9116 améliore les scores E-E-A-T technique.

**agent-card.json** n'a pas encore d'adoption agent prouvée, mais le standard est ratifié IANA et donné à la Linux Foundation. Publier aujourd'hui place votre marque dans un peloton de tête de quelques dizaines de sites au monde, et la couverture média avait bien anticipé l'effet "early adopter".

### Ce qui ne marche pas (encore)

**llms.txt** : 0,1% du trafic IA mesuré par OtterlyAI. Aucun fournisseur LLM majeur ne l'engage comme input first-class. À publier pour les outils dev et la crédibilité, pas pour le trafic.

**Le narratif "les agents IA lisent agent-card.json avant de naviguer"** : aucune annonce officielle d'OpenAI, Anthropic, Google, ou Perplexity ne confirme cette pratique en avril 2026. Les agents (ChatGPT Atlas, Claude Computer Use, Perplexity Comet, Gemini Deep Research) browsent comme des navigateurs Chromium et rendent le JS comme un humain. Présenter agent-card comme "lu par les agents avant visite" est une projection marketing, pas un fait.

**Les crawlers IA et le JavaScript** : selon le monitoring direct Vercel sur nextjs.org (décembre 2024), aucun des crawlers majeurs (GPTBot, ClaudeBot, PerplexityBot, MetaBot) n'exécute le JavaScript. Seul Gemini le fait via l'infrastructure Googlebot. Implication : un site qui dépend de JS pour afficher prix, stock, ou avis est invisible à ces bots, indépendamment des `/.well-known/`.

**Le ratio crawl-to-refer** (Cloudflare, juillet 2025) montre l'asymétrie : Anthropic crawle 38 065 pages pour 1 visiteur référé, OpenAI 1 091 pour 1, Perplexity 194 pour 1. Publier vos fichiers `/.well-known/` ne change pas cette asymétrie, mais améliore vos chances d'être cité quand vous l'êtes.

## Checklist Shopify : que peut-on publier nativement

Pour un store Shopify standard, voici ce qui passe nativement et ce qui demande un workaround.

| Endpoint | Natif Shopify | Workaround |
|---|---|---|
| `apple-app-site-association` | Oui | Aucun |
| `assetlinks.json` | Oui | Aucun |
| `security.txt` | Non | Page Shopify avec template `page.security-txt.liquid` + redirection serveur |
| `change-password` | Non (404) | App Proxy ou Cloudflare Worker → 302 vers `/account/security` |
| `openid-configuration` | Partiel (Shopify Customer Accounts) | Endpoint exposé sur `shopify.com` racine, pas sur votre domaine vanity |
| `mta-sts.txt` | N/A (sous-domaine email) | Hébergement séparé sur `mta-sts.votremarque.com` |
| `agent-card.json` | Non | App Shopify dédiée OU Cloudflare Worker en frontal |
| `llms.txt` | Non | Idem |
| `mcp/server-card.json` | Non | Pas avant stabilisation SEPs |
| `http-message-signatures-directory` | Non | Implémentation custom si vous opérez un agent émetteur |

**Recommandation pour un store Shopify DTC standard** : commencer par les 4 endpoints quick wins (`security.txt`, `change-password`, `agent-card.json`, `llms.txt`) via un Cloudflare Worker en frontal. Compter 2 à 4 heures de mise en place. Cela suffit à passer de 25 à 70 environ sur le score Cloudflare.

## Comment auditer son score actuel

Trois options pour mesurer où vous en êtes :

**Option 1 — Test gratuit Cloudflare** : ouvrir [isitagentready.com](https://isitagentready.com), entrer votre URL, choisir le type de site (Content / API / All). Le scanner check robots.txt, sitemap, Link headers, négociation Markdown, présence des fichiers `/.well-known/` listés ci-dessus. Limite documentée : score binaire présence/absence, pas d'évaluation de la qualité du contenu, pas de validation cryptographique réelle des signatures, segment commerce limité aux protocoles techniques.

**Option 2 — Audit manuel avec curl** :

```bash
# Vérifier la présence et le code HTTP
for endpoint in security.txt change-password agent-card.json; do
  echo "=== /.well-known/$endpoint ==="
  curl -sI "https://votre-marque.com/.well-known/$endpoint" | head -1
done

# Vérifier llms.txt à la racine
curl -sI "https://votre-marque.com/llms.txt" | head -1
```

**Option 3 — [Audit GEO Verity Score](/fr/audit-geo-gratuit/)** : audit gratuit en 60 secondes qui couvre les 11 endpoints `/.well-known/` plus 200 autres signaux GEO (schema.org, contenu conversationnel, robots.txt IA, multilingue, agentic commerce). Verity Score audite la **qualité** des fichiers, pas seulement leur présence : conformité RFC 9116 du `security.txt`, validité de l'`Expires`, conformité A2A v1 de l'`agent-card.json`, fraîcheur du `llms.txt`, signatures Web Bot Auth valides cryptographiquement.

Verity Score publie son propre `agent-card.json` conforme A2A v1 et son `llms.txt` à jour, à l'adresse `verityscore.io/.well-known/agent-card.json` et `verityscore.io/llms.txt`. Vérifiable.

## Données exclusives : qui crawle vraiment vos /.well-known/ en 2026

Avant cet article, aucune source publique n'avait mesuré la consultation des fichiers `/.well-known/` IA-spécifiques par les crawlers déclarés. OtterlyAI a publié 0,1% pour `llms.txt`, mais personne pour `agent-card.json`, `ai.txt`, ou `llms-full.txt`.

Voici les premiers ratios mesurés sur les logs serveur de `verityscore.io` (avril 2026, données internes Verity Score). Méthodologie : capture en continu des hits HTTP sur les endpoints exposés, attribution des user-agents aux opérateurs déclarés via cross-référence User-Agent + ranges IP officiels publiés par OpenAI, Anthropic, Perplexity, Meta, Microsoft. Périmètre : 4 fichiers AI exposés (`/.well-known/agent-card.json`, `/llms.txt`, `/ai.txt`, `/llms-full.txt`) × 3 grands opérateurs IA observés (OpenAI, Microsoft, Meta).

> Note méthodologique : nous publions ici les **ratios qualitatifs** parce que ce sont les patterns robustes même sur un échantillon initial restreint. Les volumes absolus sont actualisés en temps réel sur le dashboard public [/fr/ai-traffic-report/](/fr/ai-traffic-report/) à mesure que la fenêtre d'observation grossit.

| Métrique | Valeur observée | Lecture |
|---|---|---|
| Couverture de `/.well-known/agent-card.json` par les grands opérateurs IA | **3/3** (OpenAI, Microsoft, Meta) | Seul endpoint AI avec couverture totale des 3 acteurs majeurs |
| Couverture de `/llms.txt`, `/ai.txt`, `/llms-full.txt` par les grands opérateurs IA | **1/3** (Meta seul) | Aucun grand opérateur en dehors de Meta ne les crawle dans la mesure |
| Couverture des 4 fichiers AI par MetaBot | **100%** | Comportement de découverte structuré côté Meta AI |
| Part de `/.well-known/agent-card.json` dans les hits AI bot cumulés | **environ 68%** | Concentration massive sur l'endpoint A2A |

Trois enseignements à plat :

1. **`/.well-known/agent-card.json` est l'endpoint AI le plus largement adopté par les crawlers déclarés.** Il est crawlé par les 3 grands opérateurs IA observés (OpenAI, Microsoft, Meta), alors que `llms.txt`, `ai.txt`, `llms-full.txt` ne le sont que par 1 opérateur sur 3 (Meta seul). Cohérent avec son enregistrement IANA récent et l'arrivée des agents A2A en production.
2. **MetaBot couvre 100% des 4 endpoints AI exposés.** Comportement de découverte systématique qui suggère un crawler dédié à la cartographie des préférences agent côté Meta AI. C'est le seul opérateur observé avec ce profil.
3. **GPTBot et Bingbot ne crawlent que `agent-card.json`** dans la mesure. Aucune trace de consultation de `llms.txt` par ces deux opérateurs. Cohérent avec la doctrine OpenAI publique qui ne reconnaît pas `llms.txt` comme input first-class.

Ces ratios sont à lire avec prudence (un seul site, période d'observation courte). Mais ils contredisent le narratif "les agents IA ignorent les `/.well-known/`". Au minimum, les **crawlers training et indexation** des 3 grands opérateurs IA consultent l'endpoint A2A, et leur publication n'est donc pas un investissement mort.

Verity Score continue de publier ces mesures pour suivre l'évolution sur le [dashboard public temps réel](/fr/ai-traffic-report/). Trois questions ouvertes restent à mesurer dans les prochains mois :

1. **Quel `/.well-known/` corrèle avec une citation Perplexity, ChatGPT Search, ou AI Overviews ?** Aucune étude ne le quantifie aujourd'hui.
2. **Quelle latence entre publication d'un agent-card.json et premier crawl GPTBot ou Bingbot ?** Mesure de découverte.
3. **Comparatif rendu JS entre les agents** Comet, Atlas, Operator, Computer Use, Deep Research sur un benchmark commun.

## En résumé

| Ce qu'il faut faire en avril 2026 | Niveau de confiance |
|---|---|
| Publier `security.txt` conforme RFC 9116 avec Expires < 1 an | Haute (RFC ratifié, adoption universelle) |
| Publier `change-password` en redirection 302 | Haute (spec WHATWG, adoption password managers) |
| Publier `mta-sts.txt` en mode `testing` puis `enforce` | Haute (RFC ratifié, impact deliverability) |
| Publier `agent-card.json` conforme A2A v1 | Haute (standard IANA, adoption en démarrage = avantage early) |
| Publier `llms.txt` à la racine | Moyenne (utile, mais pas un levier de trafic) |
| Implémenter Web Bot Auth (`http-message-signatures-directory`) | Élevée si vous émettez des requêtes agent, faible sinon |
| Publier MCP `/.well-known/mcp/...` | Faible (attendre stabilisation SEPs) |
| Publier `ai-plugin.json` | Aucune (déprécié 2024) |

Le score Cloudflare est un indicateur, pas une fin. La vraie question est : quand un agent IA (humain ou logiciel) interroge votre marque, lui donnez-vous les éléments structurés pour vous comprendre, vous citer, et vous recommander ? Les fichiers `/.well-known/` sont un signal parmi d'autres. Le contenu, le schema.org, le robots.txt IA, et la fraîcheur restent les leviers majeurs.

Cet article sera mis à jour à chaque évolution majeure des standards (publication finale du draft Web Bot Auth, merge SEP-1649, nouvelles données de Cloudflare). Date de dernière vérification : 25 avril 2026.
## FAQ

### Qu'est-ce qu'un fichier /.well-known/ ?

Un fichier /.well-known/ est un endpoint standardisé (RFC 8615) que les sites publient à la racine de leur domaine pour exposer des métadonnées lisibles par des machines. En 2026, les agents IA et les serveurs de vérification y cherchent des fichiers comme security.txt, agent-card.json, ou la clé publique Web Bot Auth pour comprendre votre site et vérifier l'authenticité des bots qui s'y connectent.

### Combien de fichiers /.well-known/ faut-il publier en 2026 ?

Pour un site DTC qui veut maximiser son score Agent Readiness, viser 11 endpoints répartis en 3 tiers : 5 RFC ratifiés à publier sans réserve (security.txt, change-password, openid-configuration, oauth-authorization-server, mta-sts.txt), 1 endpoint en draft IETF mais déjà en production (Web Bot Auth), et 5 nouveaux ou émergents à intégrer si vous êtes early adopter (agent-card.json A2A, /.well-known/mcp/server-card.json, llms.txt, oauth-protected-resource, api-catalog).

### Est-ce que llms.txt fait vraiment venir du trafic IA ?

Non, à ce jour. Une étude OtterlyAI sur 90 jours mesure llms.txt à 0,1% du trafic bot IA. Une étude Search Engine Land sur 10 sites et 180 jours conclut qu'il n'a aucun impact mesurable sur 8 sites. John Mueller (Google) le compare au meta keywords tag. Publier un llms.txt reste utile comme signal de crédibilité et pour les outils dev (Cursor, Continue) mais ne doit pas être présenté comme un levier de trafic.

### Comment Cloudflare calcule mon score Agent Readiness ?

Le score 0-100 publié sur isitagentready.com (lancé le 17 avril 2026) repose sur 4 dimensions : Discoverability (robots.txt, sitemap, Link headers), Content Accessibility (négociation Markdown), Bot Access Control (Content Signals, Web Bot Auth), Capabilities (MCP Server Card, OAuth Protected Resource, protocoles commerce). Le scanner détecte la présence binaire des fichiers, pas leur qualité. Premier rapport mondial : 78% des sites ont un robots.txt, 4% déclarent leurs préférences IA, moins de 15 sites au monde supportent les MCP Server Cards.

### Quel /.well-known/ les agents IA consultent vraiment en 2026 ?

Un seul fichier /.well-known/ a une adoption opérateur réelle et mesurable : /.well-known/http-message-signatures-directory (Web Bot Auth). ChatGPT Agent, Goose (Block), Browserbase, Anchor Browser, et Cloudflare Browser Rendering y publient leur clé publique Ed25519 pour signer leurs requêtes. Côté serveur, Cloudflare et AWS WAF vérifient ces signatures. Les autres /.well-known/ (agent-card, MCP, llms.txt) ne sont pas consultés systématiquement par les agents avant navigation, contrairement à ce qu'avancent certains articles marketing.

### Faut-il publier un /.well-known/mcp.json en 2026 ?

Pas encore. Au 25 avril 2026, MCP n'a pas de standard /.well-known/mcp.json stabilisé. Deux propositions sont en draft : SEP-1649 (/.well-known/mcp/server-card.json) et SEP-1960 (/.well-known/mcp). Les deux sont des proposals non mergées dans la spec MCP core. Si vous opérez un serveur MCP, exposez-le directement via mcp.votredomaine.com et référencez-le dans votre agent-card.json (champ mcpEndpoint). Attendre la version finale de la spec avant d'investir lourdement.

### Mon site Shopify peut-il publier ces fichiers /.well-known/ ?

Oui, mais avec des limites. Shopify expose nativement /.well-known/apple-app-site-association et quelques endpoints système. Pour les autres (security.txt, change-password, llms.txt, agent-card.json), passer par : un Shopify Theme avec template page personnalisé, une App Proxy qui sert le fichier depuis votre backend, ou un Cloudflare Worker en frontal qui réécrit la requête. Pour MTA-STS, utiliser le sous-domaine mta-sts.votremarque.com hébergé hors Shopify. La majorité des stores Shopify n'ont aujourd'hui ni security.txt, ni change-password, ni agent-card.

### Pourquoi mon score Agent Readiness chute si je n'ai pas de Web Bot Auth ?

Web Bot Auth est le seul standard /.well-known/ avec une adoption serveur réelle (Cloudflare, AWS WAF, vraisemblablement Vercel/Akamai). Le score Cloudflare valorise sa présence parce que c'est aujourd'hui le seul mécanisme qui permet à un site de distinguer un agent IA légitime (ChatGPT Agent signé) d'un crawler stealth. Pour publier, vous devez héberger un JWKS Ed25519 à /.well-known/http-message-signatures-directory et signer les requêtes que vous émettez. Pour un site DTC qui ne fait que recevoir, cette dimension peut rester vide sans casser le score global.

## Sources

- [Introducing the Agent Readiness Score (Cloudflare, 17 avril 2026)](https://blog.cloudflare.com/agent-readiness/) (industry)
- [isitagentready.com — scanner Agent Readiness (Cloudflare, avril 2026)](https://isitagentready.com) (industry)
- [RFC 8615 — Well-Known Uniform Resource Identifiers (IETF, mai 2019)](https://www.rfc-editor.org/rfc/rfc8615) (official)
- [Registre IANA des Well-Known URIs (mise à jour 1er avril 2026)](https://www.iana.org/assignments/well-known-uris/well-known-uris.xhtml) (official)
- [draft-nottingham-rfc8615bis-02 — révision en cours (Mark Nottingham, 23 février 2026)](https://datatracker.ietf.org/doc/draft-nottingham-rfc8615bis/) (official)
- [Web Bot Auth Architecture draft-05 (Meunier/Major, 2 mars 2026)](https://datatracker.ietf.org/doc/draft-meunier-web-bot-auth-architecture/) (official)
- [HTTP Message Signatures Directory draft-05 (IETF, 2 mars 2026)](https://datatracker.ietf.org/doc/draft-meunier-http-message-signatures-directory/) (official)
- [Web Bot Auth — documentation officielle (Cloudflare)](https://developers.cloudflare.com/bots/reference/bot-verification/web-bot-auth/) (official)
- [The age of agents: cryptographically recognizing agent traffic (Cloudflare, 28 août 2025)](https://blog.cloudflare.com/signed-agents/) (industry)
- [Agent2Agent Protocol — AgentCard Specification v1.0.0 (a2a-protocol.org, 2026)](https://a2a-protocol.org/latest/specification/) (official)
- [A2A donné à la Linux Foundation (Google Cloud, 23 juin 2025)](https://developers.googleblog.com/en/google-cloud-donates-a2a-to-linux-foundation/) (official)
- [MCP SEP-1649 — Server Cards à /.well-known/mcp/server-card.json (14 octobre 2025)](https://github.com/modelcontextprotocol/modelcontextprotocol/issues/1649) (official)
- [MCP SEP-1960 — /.well-known/mcp discovery endpoint (2026)](https://github.com/modelcontextprotocol/modelcontextprotocol/issues/1960) (official)
- [llms.txt specification (Jeremy Howard, AnswerDotAI, dernier commit 29 janvier 2026)](https://llmstxt.org/) (official)
- [Does llms.txt matter? We tracked 10 sites for 180 days (Search Engine Land, 20 janvier 2026)](https://searchengineland.com/does-llms-txt-matter-467740) (industry)
- [The llms.txt Experiment: 0,1% du trafic IA (OtterlyAI, 90 jours)](https://otterly.ai/blog/the-llms-txt-experiment/) (industry)
- [Google Says LLMs.txt Comparable to Keywords Meta Tag (Search Engine Journal, 2025)](https://www.searchenginejournal.com/google-says-llms-txt-comparable-to-keywords-meta-tag/544804/) (industry)
- [RFC 9116 — security.txt (IETF, avril 2022)](https://www.rfc-editor.org/rfc/rfc9116) (official)
- [RFC 9421 — HTTP Message Signatures (IETF, février 2024)](https://www.rfc-editor.org/rfc/rfc9421) (official)
- [The rise of the AI crawler — aucun crawler IA n'exécute le JS sauf Gemini (Vercel, 17 décembre 2024)](https://vercel.com/blog/the-rise-of-the-ai-crawler) (industry)
- [The crawl-to-click gap: ratios juillet 2025 (Cloudflare, 29 août 2025)](https://blog.cloudflare.com/crawlers-click-ai-bots-training/) (industry)
- [Overview of OpenAI Crawlers (developers.openai.com)](https://developers.openai.com/api/docs/bots) (official)