Discussion :

[Stéphane le calme]

Le créateur de Signal dévoile Confer, l'anti-ChatGPT : son projet pour protéger le contenu des échanges avec un chatbot IA.
en s'appuyant sur le chiffrement de bout en bout, l’usage de passkeys et des environnements d’exécution sécurisés

Figure singulière de la cybersécurité contemporaine, Moxie Marlinspike n’a jamais cultivé le goût du consensus technologique. Après avoir profondément transformé la messagerie sécurisée avec Signal, il revient sur le devant de la scène avec Confer, un projet qui s’attaque à un autre angle mort du numérique moderne : l’intelligence artificielle et son appétit insatiable pour les données personnelles. À contre-courant d’une industrie dominée par l’obsession de la collecte et de l’entraînement massif, Confer se présente comme une tentative de réconciliation entre IA utile et respect strict de la vie privée.

En lançant Confer, Moxie Marlinspike ne se contente pas d’ajouter un nouveau nom à la longue liste des projets d’intelligence artificielle. Il remet frontalement en cause l’idée selon laquelle une IA efficace doit nécessairement tout voir, tout stocker et tout apprendre sur ses utilisateurs. Après avoir imposé le chiffrement de bout en bout comme standard avec Signal, le cryptographe américain applique la même logique à un secteur désormais structuré autour de la collecte massive de données.

Confer ne naît pas dans un vide technologique. Il arrive à un moment où l’intelligence artificielle est de plus en plus perçue comme une couche invisible de surveillance, intégrée aux systèmes d’exploitation, aux navigateurs, aux messageries et aux outils professionnels. Dans ce contexte, le projet de Marlinspike se positionne comme une forme de résistance technique. L’objectif n’est pas de concurrencer frontalement les assistants généralistes les plus puissants, mais de proposer une alternative fondée sur une contrainte centrale : l’IA ne doit pas devenir un observateur permanent de l’utilisateur.

Cette posture tranche avec la dynamique actuelle du secteur, où la valeur d’un système est souvent corrélée à sa capacité à agréger des données hétérogènes, à profiler finement les comportements et à capitaliser sur des historiques toujours plus détaillés. Confer prend le contre-pied de cette logique, quitte à limiter volontairement certaines fonctionnalités.

Confer, ou le refus assumé de l’IA omnisciente

Pour comprendre Confer, il faut revenir à Signal et à la philosophie qui a guidé son développement. Avec Signal, Moxie Marlinspike a démontré qu’un service grand public pouvait intégrer un chiffrement de bout en bout robuste sans devenir inutilisable. Ce choix technique, longtemps jugé irréaliste à grande échelle, a fini par influencer l’ensemble du secteur, y compris des acteurs historiquement réticents à sacrifier l’exploitation des métadonnées.

Confer s’inscrit dans cette continuité. Il ne s’agit pas pour Marlinspike de « faire de l’IA » parce que le marché l’exige, mais de répondre à une question qu’il juge désormais centrale : comment concevoir des assistants intelligents sans créer une nouvelle infrastructure de surveillance, plus invasive encore que celles des réseaux sociaux ou du cloud traditionnel ?

La clé pour décoder les conversations est conservée sur l'appareil de l'utilisateur. En d'autres termes, les serveurs ne possèdent aucune clé qui pourrait être utilisée pour déchiffrer les échanges. Selon Moxie Marlinspike, ces données peuvent être conservées sur l'infrastructure de Confer afin de faciliter la synchronisation entre divers appareils, mais seulement sous forme chiffrée.

Cela signifie que l'administrateur de la plateforme n'a pas la possibilité d'accéder au contenu des messages et qu'un pirate ayant infiltré l'infrastructure ne pourrait voir que les données chiffrées. De plus, une demande de justice concernant les serveurs ne donnerait pas accès au contenu des communications.

Une filiation directe avec la philosophie de Signal

Le lien entre Confer et Signal n’est pas uniquement biographique. Il est profondément conceptuel. Avec Signal, Marlinspike avait déjà démontré qu’un service pouvait être conçu autour d’un principe simple mais radical : ne pas savoir. En réduisant au strict minimum les métadonnées accessibles au serveur, Signal a bâti un modèle où même l’opérateur du service est incapable d’exploiter les échanges de ses utilisateurs.

Confer transpose cette idée au monde de l’IA. Là où les assistants intelligents actuels reposent sur l’analyse centralisée des requêtes et l’amélioration continue via la rétention de données, Confer explore des architectures où le fournisseur n’a qu’une visibilité extrêmement limitée sur les interactions. Le chiffrement, l’exécution locale partielle et la minimisation des traces ne sont pas des options marketing, mais des choix structurants.

Une réponse critique à l’essor de l’IA agentique

Le lancement de Confer peut également se lire comme une critique implicite de la trajectoire prise par l’IA dite agentique. Ces systèmes, capables d’agir au nom de l’utilisateur, de réserver des services, d’accéder à des comptes et de prendre des décisions autonomes, supposent un niveau de confiance et d’accès sans précédent. Pour fonctionner, ils doivent accumuler des identités numériques, des autorisations étendues et des contextes personnels riches.

Marlinspike met en garde contre ce glissement progressif. Plus une IA agit, plus elle doit savoir, et plus elle sait, plus elle devient un point de concentration des risques. Confer propose une vision inverse : une IA volontairement limitée, moins spectaculaire, mais plus prévisible et plus contrôlable. Cette approche pose une question de fond aux professionnels de l’informatique : l’autonomie maximale est-elle réellement synonyme de progrès ?

Une position qui rejoint celle des dirigeants de Signal

Les dirigeants de Signal avertissent que l'essor rapide de l'intelligence artificielle agentique pourrait entraîner de graves risques en matière de sécurité, de fiabilité et de confidentialité. Meredith Whittaker, la présidente, et Joshua Lund, le vice-président de l'ingénierie, affirment que ces systèmes autonomes, conçus pour agir au nom des utilisateurs, nécessitent un accès approfondi aux appareils et aux données personnelles, créant ainsi de nouvelles vulnérabilités et soulevant des préoccupations en matière de surveillance à grande échelle. Ils exhortent l'industrie à mettre en place des mesures de protection plus strictes, à garantir la transparence et à effectuer des tests rigoureux avant tout déploiement à grande échelle.

Leurs préoccupations découlent de l'architecture fondamentale de l'IA agentique, qui nécessite souvent une intégration profonde dans les systèmes d'exploitation et l'accès à de vastes quantités de données personnelles. Dans une récente interview, Meredith Whittaker a déclaré que ces agents étaient susceptibles de créer des « bases de données stockant des vies numériques entières », qui deviendraient alors des cibles de choix pour les logiciels malveillants et les accès non autorisés. Il ne s'agit pas là d'une simple spéculation, mais d'une réalité qui trouve son origine dans la manière dont ces systèmes d'IA sont déployés, souvent sans le consentement explicite des utilisateurs, s'intégrant au cœur même des appareils et des plateformes.

Lund a fait écho à ces sentiments, soulignant le manque de fiabilité des tâches en plusieurs étapes effectuées par ces agents. Chaque action d'une chaîne peut introduire des erreurs, entraînant des défaillances en cascade qui non seulement frustrent les utilisateurs, mais ouvrent également la porte à des abus. Alors que les entreprises d'IA se précipitent pour intégrer ces capacités dans les outils quotidiens, les dirigeants de Signal affirment que le secteur doit faire une pause et réévaluer la situation avant que des dommages irréversibles ne se produisent.

Microsoft a d'ailleurs reconnu les risques introduits par l'IA agentique sur Windows 11

Après avoir posé les premières bases de l'IA agentique dans Windows 11, Microsoft a reconnu que l'IA agentique introduit une classe entière de risques nouveaux.

L’un des plus inquiétants est ce que Microsoft appelle le « cross-prompt injection » (XPIA). En clair : un document, une interface ou un simple texte contenant une instruction invisible pour l’utilisateur peut tromper l’agent IA. Celui-ci pourrait alors exécuter une action non désirée, par exemple télécharger un logiciel malveillant, l’installer, le lancer ou exfiltrer des données sensibles.

C’est une vulnérabilité conceptuelle très différente des attaques classiques. Il ne s’agit plus de tromper l’utilisateur, mais de tromper l’assistant intelligent — qui, lui, a accès à des zones du système où l’utilisateur lui-même ne va pas toujours.

Pourquoi la sécurité est-elle importante ?

L'IA agentique dispose aujourd'hui de capacités puissantes : elle peut par exemple accomplir de nombreuses tâches complexes en réponse aux demandes des utilisateurs, transformant ainsi la manière dont ceux-ci interagissent avec leur PC. Malgré l'introduction de ces capacités, les modèles d'IA restent confrontés à des limitations fonctionnelles en termes de comportement et peuvent parfois produire des hallucinations et des résultats inattendus. De plus, les applications d'IA agentique introduisent de nouveaux risques de sécurité, tels que l'injection croisée de requêtes (XPIA), où des contenus malveillants intégrés dans des éléments de l'interface utilisateur ou des documents peuvent passer outre les instructions de l'agent, entraînant des actions involontaires telles que l'exfiltration de données ou l'installation de logiciels malveillants.

Alors que nous commençons à intégrer des capacités agentique dans Windows, nous nous engageons à inclure des contrôles de sécurité et de confidentialité robustes qui permettent aux clients d'explorer leur potentiel en toute confiance, grâce à des conseils clairs et des garde-fous appropriés guidés par ces objectifs.

Des compromis techniques assumés

Choisir de ne pas tout collecter implique nécessairement des compromis. Confer ne promet pas une personnalisation extrême ni une compréhension exhaustive du contexte utilisateur. Les performances brutes, mesurées à l’aune des benchmarks habituels, ne sont pas le cœur du discours. Le projet assume une autre métrique de succès, centrée sur la confiance, la robustesse et la réduction des risques systémiques.

Pour les ingénieurs et les décideurs techniques, cette démarche rappelle que toute architecture est le produit d’arbitrages. La question n’est pas seulement de savoir ce qu’une IA peut faire, mais ce qu’elle ne doit pas faire. Confer remet cette réflexion au centre du débat, à un moment où l’accélération technologique tend à reléguer ces considérations au second plan.

Un pari stratégique face aux géants de l’IA

Sur le plan industriel, Confer évolue à contre-courant. Les leaders du marché investissent des milliards dans des infrastructures massives, des centres de données énergivores et des modèles toujours plus larges. En comparaison, l’approche défendue par Marlinspike peut sembler marginale, voire économiquement fragile.

Pourtant, l’histoire de Signal montre que la marginalité initiale n’exclut pas l’influence. Sans jamais devenir un géant du numérique, Signal a imposé des standards qui ont fini par irriguer l’ensemble du secteur. Confer pourrait jouer un rôle similaire, non pas en dominant le marché, mais en redéfinissant ce qui est considéré comme acceptable en matière de conception d’IA.

Une question ouverte pour l’avenir de l’IA

Au fond, Confer ne se présente pas comme une solution universelle, mais comme une question posée à l’industrie. Jusqu’où sommes-nous prêts à aller en matière de collecte et de centralisation pour gagner en confort et en automatisation ? Et surtout, ces choix sont-ils réversibles une fois les infrastructures en place ?

Avec Confer, Moxie Marlinspike rappelle que l’intelligence artificielle n’est pas uniquement une affaire de modèles et de puissance de calcul. C’est aussi un enjeu de gouvernance, de confiance et de responsabilité. Dans un écosystème obsédé par la performance et la vitesse, cette voix dissonante pourrait bien s’avérer plus durable qu’il n’y paraît.

Confer est disponible pour macOS, iOS et Android. Les versions Windows et Linux requièrent l’usage d’un gestionnaire de mots de passe. L'initiative n'est pas sans rappeler celle de Proton avec son assistant Lumo.

Source : Confer

Et vous ?

Que pensez-vous de ce projet ?

Une intelligence artificielle qui limite volontairement ce qu’elle sait sur ses utilisateurs peut-elle réellement rivaliser, en efficacité et en adoption, avec des modèles massivement entraînés sur des volumes de données quasi illimités ? Cette approche « privacy first » est-elle compatible avec les attentes croissantes de personnalisation et d’automatisation exprimées par les utilisateurs professionnels et grand public ?

Confer marque-t-il le début d’un courant durable d’IA à connaissance limitée, ou s’agit-il d’une posture essentiellement idéologique, condamnée à rester marginale face aux logiques industrielles dominantes ? Peut-on imaginer que ce type d’architecture inspire à terme les géants du secteur, ou ceux-ci sont-ils structurellement incapables de renoncer à la collecte massive de données ?

L’IA agentique, présentée comme la prochaine étape majeure de l’intelligence artificielle, est-elle fondamentalement incompatible avec des exigences fortes de confidentialité, ou existe-t-il un modèle intermédiaire encore à inventer ? À partir de quel niveau d’autonomie une IA devient-elle un risque systémique pour la sécurité et la vie privée des utilisateurs ?

Un projet comme Confer peut-il trouver un modèle viable sans monétiser les données, et sans céder aux mêmes incitations que les plateformes qu’il critique ?

[Matthieu Vergne]

Cela reste une plateforme où il faut créer un compte. J'ai des modèles suffisants qui tournent facilement sur ma machine, donc je vais m'en contenter.