Si l’idée semble séduisante sur papier, il est essentiel de gratter la surface pour comprendre que cette annonce pourrait bien n'être qu'une dangereuse illusion. Meta, la maison-mère du service, nous promet ainsi de déployer bientôt des capacités d'IA « confidentielles » permettant, par exemple, de résumer vos messages non lus ou de vous aider à rédiger des réponses rapides, tout cela en conservant soi-disant intact le secret de vos échanges privés. Une proposition qui ressemble étrangement à une tentative de satisfaire des utilisateurs exigeants en la matière, tout en se lançant pleinement dans l’arène lucrative de l’IA.
Comment cela fonctionnerait-il concrètement ? WhatsApp nous explique que la fonctionnalité repose sur une technologie complexe appelée Confidential Virtual Machine (CVM), un environnement sécurisé dans lequel seraient traitées les demandes d’IA sans que Meta ou WhatsApp, lui-même, ne puissent accéder à vos messages. Des connexions sécurisées utilisant Oblivious HTTP (OHTTP) seraient établies pour masquer les adresses IP, tandis que les requêtes seraient cryptées, traitées dans un environnement dit de confiance (Trusted Execution Environment ou TEE), puis renvoyées vers l'appareil de l'utilisateur en théorie inaccessibles à quiconque d'autre.
Pour convaincre, le service de messagerie déroule une longue liste de garanties techniques, avec des termes impressionnants comme la « transparence vérifiable », la « sécurité prospective » et des « garanties exécutoires ». En somme, tout serait prévu pour éviter que les données puissent être ciblées, interceptées ou exploitées par des tiers. WhatsApp se dit même prêt à ouvrir son système aux audits externes, promettant une totale transparence (toujours sur le papier, du moins).
Cependant, derrière ce discours rassurant, les zones d’ombre sont nombreuses. Meta elle-même reconnaît timidement des maillons faibles potentiels, évoquant du bout des lèvres des risques d’attaques par des insiders mal intentionnés, des vulnérabilités liées à la chaîne d'approvisionnement ou même des utilisateurs malveillants. Ces risques ne sont pas anodins. Derrière les promesses rassurantes se cache une vérité plus inquiétante: dès lors qu'une technologie implique le traitement distant de données sensibles, elle devient une cible idéale pour les hackers, les criminels et même les États-nations. Le problème fondamental de cette approche reste entier. Pourquoi une application de messagerie, initialement prisée justement pour sa simplicité et son chiffrement intégral, doit-elle à tout prix intégrer de telles fonctions d’IA à risque ? En voulant à tout prix se positionner sur ce marché très concurrentiel, elle met directement en péril l’argument principal qui a fait sa force et son succès: la confidentialité réelle des échanges privés.
Certains experts en cryptographie mettent déjà en garde:
« Tout système chiffré qui utilise une intelligence artificielle externe présente nécessairement plus de risques qu’un système purement chiffré de bout en bout. »
Les données envoyées vers ces serveurs, même dans des environnements hautement sécurisés, constituent toujours un point d’attaque potentiel. Et, en multipliant les points d’accès possibles, WhatsApp offre aux pirates informatiques autant d’occasions supplémentaires de pénétrer dans des espaces jusqu'ici totalement protégés. Il est également troublant de constater que l'application propose une option appelée « Advanced Chat Privacy », qui permet à chaque participant d'un groupe de bloquer l'utilisation de ces fameuses fonctionnalités d'IA par les autres membres. Cette possibilité, loin d’être rassurante, prouve surtout une chose: même WhatsApp reconnaît implicitement le risque inhérent à son nouveau fonctionnement. Si l'utilisation de l'IA était réellement sans risque, pourquoi laisserait-elle le choix aux utilisateurs d’empêcher les autres participants d’y recourir ?
Meta prétend que les utilisateurs attendent ces fonctionnalités et que, faute de les offrir, ils risqueraient de migrer vers des plateformes moins sécurisées. Cet argument est problématique, car il révèle une stratégie commerciale qui sacrifie potentiellement la sécurité réelle des utilisateurs pour satisfaire une demande d'apparence légitime, mais fondamentalement incompatible avec la promesse de départ de l’application. Enfin, comparer l’initiative de WhatsApp à celle d’Apple (Private Cloud Compute) n’est pas rassurant non plus. Apple limite l’accès à sa technologie aux appareils haut de gamme capables de gérer localement la plupart des traitements d’IA. WhatsApp, au contraire, cherche à déployer son système sur tous types d’appareils, y compris des téléphones anciens et moins sécurisés, multipliant ainsi encore davantage les points faibles potentiels.
Il est urgent d’interroger sérieusement cette dérive vers des fonctionnalités à risque. Le succès de WhatsApp repose sur une confiance que l’entreprise risque aujourd’hui dangereusement de compromettre au nom d’une course effrénée à l’innovation technologique. « Private Processing » est peut-être une belle trouvaille marketing, mais le coût potentiel en termes de sécurité et de confidentialité réelles pourrait être immense. À vouloir tout offrir, WhatsApp risque simplement de tout perdre.