Moxie Marlinspike, le créateur de Signal, lance Confer, un assistant IA chiffré de bout en bout qui empêche toute récupération des données par les opérateurs de plateforme, les pirates ou les autorités. Disponible depuis quelques jours, ce projet open source entend bloquer les dérives publicitaires des chatbots populaires.
Les chatbots actuels comme ChatGPT stockent les conversations des utilisateurs sur des serveurs centralisés, exposant leurs données à d'éventuelles exploitations commerciales ou judiciaires. Moxie Marlinspike veut inverser ce modèle avec Confer, un assistant qui applique le chiffrement de bout en bout aux interactions avec l'IA.
Comment fonctionne Confer ?
Confer s'appuie sur un environnement d'exécution de confiance (TEE, pour Trusted Execution Environment), lequel isole les données sensibles du reste du système. Il s'agit d'une zone sécurisée du processeur où les données sont déchiffrées, traitées par le modèle de langage, puis rechiffrées avant de repartir vers l'utilisateur. La machine hôte fournit la puissance de calcul et la mémoire, mais ne peut pas accéder aux contenus qui transitent dans le TEE.
Les clés de déchiffrement ne quittent jamais l'appareil de l'utilisateur. Même si les conversations peuvent être stockées sur l'infrastructure de Confer pour permettre la synchronisation entre appareils, elles le sont uniquement sous forme chiffrée. Cette approche garantit que même un administrateur système, un pirate informatique ou une autorité légale ne peut pas lire le contenu des discussions.
Pour l'authentification, Confer utilise les passkeys, un standard qui génère une paire de clés cryptographiques unique. La clé publique est envoyée au serveur, tandis que la clé privée reste protégée dans le matériel sécurisé du smartphone ou de l'ordinateur. Confer exploite une extension des passkeys appelée PRF (Pseudorandom Function). Celle-ci permet de dériver du matériel de clé sans jamais exposer la clé privée. L'utilisateur accède à ses conversations chiffrées depuis n'importe lequel de ses appareils avec une simple authentification biométrique (Face ID ou Touch ID), sans gérer manuellement des clés de chiffrement.
Le projet est entièrement open source, ce qui permet à la communauté de vérifier cryptographiquement que le code respecte bien ses promesses de confidentialité. Cette transparence représente un argument décisif pour les utilisateurs méfiants des promesses des entreprises d'IA propriétaires.
Quelle différence avec Proton Lumo ?
Confer n'est donc pas sans rappeler Lumo, l'IA de Proton, qui se positionne également sur le terrain de la vie privée. Cependant, leurs architectures ne sont pas vraiment similaires.
Proton Lumo utilise un chiffrement "utilisateur vers Lumo" (U2L) où les messages sont chiffrés avec une clé AES, laquelle est elle-même chiffrée avec une clé PGP publique du serveur LLM. Le serveur de Proton peut déchiffrer les messages pendant l'inférence, c'est-à-dire l'étape durant laquelle le LLM analyse la requête et formule sa réponse. Ces données sont ensuite rechiffrées immédiatement avec la même clé AES avant de renvoyer la réponse. L'historique des conversations bénéficie ensuite d'un chiffrement zéro accès au repos, où seul l'utilisateur détient la clé.
Confer adopte une approche plus radicale en rajoutant cet environnement d'exécution de confiance (TEE) qui isole totalement le traitement du modèle sur les serveurs. Les clés de déchiffrement ne quittent jamais l'appareil de l'utilisateur et le traitement se fait dans une enclave sécurisée où même les administrateurs système de Confer ne peuvent pas accéder aux données en clair.
Le fonctionnement de Confer s'apparente donc davantage à celui d'Apple Cloud Compute, à la différence près que si les serveurs d'Apple peuvent être audités par un tiers, Confer, lui, est open source.
Un positionnement contre la surveillance publicitaire
Moxie Marlinspike anticipe l'arrivée de la publicité dans les assistants IA. Ces outils seront progressivement orientés pour adopter une mentalité spécifique ou procéder à un achat, tout en étant armés d'une connaissance totale du contexte, des préoccupations et des hésitations de chacun. Microsoft est particulièrement intéressé par ce secteur avec Copilot. "Ce sera comme si un tiers payait votre thérapeute pour vous convaincre de quelque chose", écrit-M. Marlinspike sur le blog de Confer.
Rappelons également qu'en juin 2025, une ordonnance judiciaire a contraint OpenAI à conserver indéfiniment l'intégralité des conversations de ChatGPT, outrepassant sa politique de suppression après 30 jours. Autant dire que le niveau de confiance en prend un coup. Marlinspike explique à Ars Technica que des utilisateurs lui rapportent déjà tenir avec Confer des conversations qu'ils n'auraient jamais confiées à ChatGPT.
Confer est actuellement disponible pour macOS, iOS et Android. Les versions Windows et Linux nécessitent l'usage d'un gestionnaire de mots de passe compatible avec le système de passkeys de Confer.
- Chiffrement de bout en bout
- Fonctionne directement en ligne
- Créé par Moxie Marlinspike
