Figure singulière de la cybersécurité contemporaine, Moxie Marlinspike n’a jamais cultivé le goût du consensus technologique. Après avoir profondément transformé la messagerie sécurisée avec Signal, il revient sur le devant de la scène avec Confer, un projet qui s’attaque à un autre angle mort du numérique moderne : l’intelligence artificielle et son appétit insatiable pour les données personnelles. À contre-courant d’une industrie dominée par l’obsession de la collecte et de l’entraînement massif, Confer se présente comme une tentative de réconciliation entre IA utile et respect strict de la vie privée.En lançant Confer, Moxie Marlinspike ne se contente pas d’ajouter un nouveau nom à la longue liste des projets d’intelligence artificielle. Il remet frontalement en cause l’idée selon laquelle une IA efficace doit nécessairement tout voir, tout stocker et tout apprendre sur ses utilisateurs. Après avoir imposé le chiffrement de bout en bout comme standard avec Signal, le cryptographe américain applique la même logique à un secteur désormais structuré autour de la collecte massive de données.
Confer ne naît pas dans un vide technologique. Il arrive à un moment où l’intelligence artificielle est de plus en plus perçue comme une couche invisible de surveillance, intégrée aux systèmes d’exploitation, aux navigateurs, aux messageries et aux outils professionnels. Dans ce contexte, le projet de Marlinspike se positionne comme une forme de résistance technique. L’objectif n’est pas de concurrencer frontalement les assistants généralistes les plus puissants, mais de proposer une alternative fondée sur une contrainte centrale : l’IA ne doit pas devenir un observateur permanent de l’utilisateur.
Cette posture tranche avec la dynamique actuelle du secteur, où la valeur d’un système est souvent corrélée à sa capacité à agréger des données hétérogènes, à profiler finement les comportements et à capitaliser sur des historiques toujours plus détaillés. Confer prend le contre-pied de cette logique, quitte à limiter volontairement certaines fonctionnalités.
Confer, ou le refus assumé de l’IA omnisciente
Pour comprendre Confer, il faut revenir à Signal et à la philosophie qui a guidé son développement. Avec Signal, Moxie Marlinspike a démontré qu’un service grand public pouvait intégrer un chiffrement de bout en bout robuste sans devenir inutilisable. Ce choix technique, longtemps jugé irréaliste à grande échelle, a fini par influencer l’ensemble du secteur, y compris des acteurs historiquement réticents à sacrifier l’exploitation des métadonnées.
Confer s’inscrit dans cette continuité. Il ne s’agit pas pour Marlinspike de « faire de l’IA » parce que le marché l’exige, mais de répondre à une question qu’il juge désormais centrale : comment concevoir des assistants intelligents sans créer une nouvelle infrastructure de surveillance, plus invasive encore que celles des réseaux sociaux ou du cloud traditionnel ?
La clé pour décoder les conversations est conservée sur l'appareil de l'utilisateur. En d'autres termes, les serveurs ne possèdent aucune clé qui pourrait être utilisée pour déchiffrer les échanges. Selon Moxie Marlinspike, ces données peuvent être conservées sur l'infrastructure de Confer afin de faciliter la synchronisation entre divers appareils, mais seulement sous forme chiffrée.
Cela signifie que l'administrateur de la plateforme n'a pas la possibilité d'accéder au contenu des messages et qu'un pirate ayant infiltré l'infrastructure ne pourrait voir que les données chiffrées. De plus, une demande de justice concernant les serveurs ne donnerait pas accès au contenu des communications.
Une filiation directe avec la philosophie de Signal
Le lien entre Confer et Signal n’est pas uniquement biographique. Il est profondément conceptuel. Avec Signal, Marlinspike avait déjà démontré qu’un service pouvait être conçu autour d’un principe simple mais radical : ne pas savoir. En réduisant au strict minimum les métadonnées accessibles au serveur, Signal a bâti un modèle où même l’opérateur du service est incapable d’exploiter les échanges de ses utilisateurs.
Confer transpose cette idée au monde de l’IA. Là où les assistants intelligents actuels reposent sur l’analyse centralisée des requêtes et l’amélioration continue via la rétention de données, Confer explore des architectures où le fournisseur n’a qu’une visibilité extrêmement limitée sur les interactions. Le chiffrement, l’exécution locale partielle et la minimisation des traces ne sont pas des options marketing, mais des choix structurants.
Une réponse critique à l’essor de l’IA agentique
Le lancement de Confer peut également se lire comme une critique implicite de la trajectoire prise par l’IA dite agentique. Ces systèmes, capables d’agir au nom de l’utilisateur, de réserver des services, d’accéder à des comptes et de prendre des décisions autonomes, supposent un niveau de confiance et d’accès sans précédent. Pour fonctionner, ils doivent accumuler des identités numériques, des autorisations étendues et des contextes personnels riches.
Marlinspike met en garde contre ce glissement progressif. Plus une IA agit, plus elle doit savoir, et plus elle sait, plus elle devient un point de concentration des risques. Confer propose une vision inverse : une IA volontairement limitée, moins spectaculaire, mais plus prévisible et plus contrôlable. Cette approche pose une question de fond aux professionnels de l’informatique : l’autonomie maximale est-elle réellement synonyme de progrès ?
Une position qui rejoint celle des dirigeants de Signal
Les dirigeants de Signal avertissent que l'essor rapide de l'intelligence artificielle agentique pourrait entraîner de graves risques en matière de sécurité, de fiabilité et de confidentialité. Meredith Whittaker, la présidente, et Joshua Lund, le vice-président de l'ingénierie, affirment que ces systèmes autonomes, conçus pour agir au nom des utilisateurs, nécessitent un accès approfondi aux appareils et aux données personnelles, créant ainsi de nouvelles vulnérabilités et soulevant des préoccupations en matière de surveillance à grande échelle. Ils exhortent l'industrie à mettre en place des mesures de protection plus strictes, à garantir la transparence et à effectuer des tests rigoureux avant tout déploiement à grande échelle.
Leurs préoccupations découlent de l'architecture fondamentale de l'IA agentique, qui nécessite souvent une intégration profonde dans les systèmes d'exploitation et l'accès à de vastes quantités de données personnelles. Dans une récente interview, Meredith Whittaker a déclaré que ces agents étaient susceptibles de créer des « bases de données stockant des vies numériques entières », qui deviendraient alors des cibles de choix pour les logiciels malveillants et les accès non autorisés. Il ne s'agit pas là d'une simple spéculation, mais d'une réalité qui trouve son origine dans la manière dont ces systèmes d'IA sont déployés, souvent sans le consentement explicite des utilisateurs, s'intégrant au cœur même des appareils et des plateformes.
Lund a fait écho à ces sentiments, soulignant le manque de fiabilité des tâches en plusieurs étapes effectuées par ces agents. Chaque action d'une chaîne peut introduire des erreurs, entraînant des défaillances en cascade qui non seulement frustrent les utilisateurs, mais ouvrent également la porte à des abus. Alors que les entreprises d'IA se précipitent pour intégrer ces capacités dans les outils quotidiens, les dirigeants de Signal affirment que le secteur doit faire une pause et réévaluer la situation avant que des dommages irréversibles ne se produisent.
Microsoft a d'ailleurs reconnu les risques introduits par l'IA agentique sur Windows 11
Après avoir posé les premières bases de l'IA agentique dans Windows 11, Microsoft a reconnu que l'IA agentique introduit une classe entière de risques nouveaux.
L’un des plus inquiétants est ce que Microsoft appelle le « cross-prompt injection » (XPIA). En clair : un document, une interface ou un simple texte contenant une instruction invisible pour l’utilisateur peut tromper l’agent IA. Celui-ci pourrait alors exécuter une action non désirée, par exemple télécharger un logiciel malveillant, l’installer, le lancer ou exfiltrer des données sensibles.
C’est une vulnérabilité conceptuelle très différente des attaques classiques. Il ne s’agit plus de tromper l’utilisateur, mais de tromper l’assistant intelligent — qui, lui, a accès à des zones du système où l’utilisateur lui-même ne va pas toujours.
[QUOTE=Microsoft]Pourquoi la sécurité est-elle importante ?
L'IA agentique dispose aujourd'hui de capacités puissantes : elle peut par exemple accomplir de nombreuses tâches complexes en réponse aux demandes des utilisateurs, transformant ainsi la manière dont ceux-ci interagissent avec leur PC. Malgré l'introduction de ces capacités, les modèles d'IA restent confrontés à des limitations fonctionnelles en termes de comportement et peuvent parfois produire des hallucinations et des résultats inattendus. De plus, les applications d'IA agentique introduisent de nouveaux risques de sécurité, tels que l'injection croisée de requêtes (XPIA), où des contenus malveillants intégrés dans des éléments de l'interface utilisateur ou des documents peuvent passer outre les instructions de l'agent, entraînant des actions involontaires telles que l'exfiltration de données ou l'installation de logiciels malveillants.
Alors que nous commençons à intégrer des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.