Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Comment WhatsApp propose des résumés IA sans pouvoir lire les conversations

Quelle débauche

Comment WhatsApp propose des résumés IA sans pouvoir lire les conversations

Dans un billet de blog publié hier soir, WhatsApp a annoncé l’arrivée des résumés pour les messages dans l’application. La fonction, qui se veut optionnelle, n’est pour l’instant disponible qu’en anglais aux États-Unis. Surtout, elle s’appuie sur une nouvelle architecture destinée à préserver la confidentialité des conversations. WhatsApp le jure, personne d’autre ne lira ces résumés.

Le 26 juin à 16h44

L’annonce de WhatsApp sur les résumés est tout sauf anodine. Bien que la fonction soit un grand classique désormais des IA génératives, son arrivée dans l’application se fait au même moment où les publicités s’apprêtent à débarquer. Or, dans le cadre d’une application qui a toujours joué la sobriété – au point d’être souvent jugée austère face à des concurrents comme Telegram – tous ces changements ne passent pas inaperçus.

L’arrivée des résumés signale une intensification de l’offensive Meta AI dans WhatsApp. Mais elle soulève surtout une question évidente : qu’en est-il de la promesse de WhatsApp sur le chiffrement de bout en bout des contenus ? Si l’IA intervient, et puisqu’elle ne le fait pas localement, cela signifie-t-il que les contenus des échanges sont envoyés à des serveurs pour y être moulinés par les bons soins de Meta, qui peut donc lire les messages ?

Private Processing : de grosses ambitions

L’annonce de WhatsApp est directement liée à une architecture présentée initialement le 29 avril et qui a fait l’objet d’un livre blanc le 10 juin (PDF) : Private Processing et la notion Trusted Execution Environment (TEE). Il s’agit ni plus ni moins que de la très officielle réponse de Meta à Apple et son Private Cloud Compute, cette infrastructure conçue pour traiter les requêtes IA sans renoncer à la vie privée. Si les approches diffèrent sur plusieurs points, le constat général est le même : c’est complexe.

Pour WhatsApp, les objectifs sont clairs. L’utilisation de Meta AI, traitement privé ou non, doit être optionnelle. De plus, tout ce qui touche au traitement privé doit être transparent. Enfin, la confidentialité avancée des discussions doit aussi empêcher l’invocation de Meta AI pour traiter des messages dans les groupes. WhatsApp assure que « des chercheurs en sécurité indépendants seront en mesure de vérifier en permanence » son architecture et son intégrité.

C’est donc la réponse de Meta à la grande question : comment appliquer les traitements d’IA génératifs sur des serveurs sans compromettre la confidentialité des échanges ?

Attention les yeux

Le livre blanc de Meta identifie quatre grands piliers. Le premier est matériel et est constitué par les TEE, dans l’objectif de créer des enclaves se voulant totalement isolées des infrastructures classiques.

Du côté matériel, Meta indique se servir de processeurs EPYC d’AMD pour leur technologie SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging). Cette dernière permet le chiffrement intégral de la mémoire de la machine virtuelle où s’exécute le traitement. SEV-SNP empêche également l’hyperviseur d’inspecter ou de modifier le contenu de la machine virtuelle.

Ces CPU sont accompagnés (sans surprise) de GPU NVIDIA, plus précisément l’architecture Hopper, pour son mode Confidential Computing. Les communications entre le GPU et le pilote graphique au sein de la machine virtuelle sont ainsi chiffrées via un tunnel sécurisé utilisant le protocole SPDM. Ce mode permet également les attestations (nous allons y revenir).

Attestation et confiance

Dans son livre blanc, Meta explique que tout un mécanisme doit être mis en place pour s’assurer que les requêtes de l’utilisateur sont bien envoyées vers ces boites noires, et que celles-ci sont capables de s’identifier comme telles, afin que les traitements puissent avoir lieu.

À partir de la page 11 de son livre blanc, Meta explique ainsi se servir du protocole RA-TLS (Remote attestation over TLS). Il permet de vérifier l’authenticité et l’intégrité de la connexion d’un appareil avec l’un des TEE. Sans trop plonger dans les détails (l’architecture est particulièrement complexe), il faut retenir qu’au démarrage, le matériel calcule une empreinte cryptographique de chaque composant logiciel chargé, comme le firmware, le noyau du système d’exploitation, les conteneurs applicatifs, etc.

Quand un appareil veut se connecter à un TEE, celui-ci génère un certificat TLS spécifique à cette connexion. Il contient un rapport d’attestation signé par une clé privée et stockée dans le processeur AMD (VCEK). Ce rapport contient toutes les empreintes cryptographiques citées précédemment ainsi qu’un nonce (numéro à usage unique) fourni par le client.

Côté client, l’application WhatsApp vérifie l’authenticité du rapport. Cette étape doit répondre à trois questions : la signature du rapport provient-elle d’un processeur AMD ? Les empreintes logicielles correspondent-elles aux versions utilisées par Meta ? Toutes les politiques de sécurité sont-elles respectées ? De nombreux éléments sont contrôlés, comme la clé racine AMD, la version du firmware, etc. Tout échec sur un élément entraine celui de toute la procédure et aucune donnée n’est envoyée.

Cloudflare et Fastly entrent en piste

Pour que cette attestation fonctionne, il faut qu’une source puisse établir ce qu’est la « bonne » partie logicielle à laquelle on tente de se connecter. Meta indique ne pas pouvoir être la seule source et a donc choisi Cloudflare comme « gardien ».

Cloudflare est ainsi chargée de maintenir un journal public, en lecture seule et infalsifiable. Dans ce journal, Meta inscrit les empreintes cryptographiques de chaque composant logiciel qu’elle utilise. Quand la société ajoute par exemple une machine virtuelle, son empreinte est envoyée à Cloudflare, qui la consigne dans le journal et y ajoute sa propre signature cryptographique pour attester de la modification.

C’est ce journal qui sert de point de repère quand le client cherche à vérifier l’authenticité du TEE. L’application WhatsApp cherche ainsi dans le journal si les empreintes qu’on lui présente y figurent bien. Ce fonctionnement doit empêcher qu’une version compromise soit secrètement installée, puisque sans la signature de Cloudflare, les clients WhatsApp ne s’y connecteront pas.

Une autre entreprise participe à la machinerie. Fastly s’occupe en effet des relais tiers par lesquels les requêtes vont être acheminées vers Meta. Il n’y a pas de connexion directe, afin que Meta ne puisse pas voir les IP. Fastly voit bien l’adresse, mais pas le contenu des requêtes. Chez Meta, la passerelle voit les données, mais pas l’adresse IP du client : elle ne voit que celle de Fastly. L’ensemble se sert d’OHTTP (Oblivious HTTP).

Un autre mécanisme est utilisé pour renforcer la sécurité : ACS (Anonymous Credentials Service). Dans l’idée de pouvoir authentifier un utilisateur sans l’identifier directement, un jeton ACS lui est attribué. Ce jeton va constituer la preuve qu’il est un utilisateur légitime de WhatsApp, sans rien dire d’autre de l’identité. Il est ensuite validé par la passerelle de Meta et constitue un sésame vers le traitement.

Et ensuite ? Une session sécurisée est établie entre le client et le TEE sélectionné. La requête est envoyée sous une forme chiffrée, grâce à une clé éphémère connue uniquement du TEE, et seul ce dernier peut déchiffrer la requête. La réponse, elle, est renvoyée à l'aide d'une autre clé. Meta assure ne jamais pouvoir accéder aux informations.

Une transparence louable, mais…

Le livre blanc de Meta est doublement intéressant. D’abord parce que l’entreprise se révèle très transparente sur ses choix techniques. Nous avons résumé ici le cœur du dispositif, mais le document contient d’autres détails. On remarque d’ailleurs que jamais les documents de Meta ne sont aussi détaillés que quand ils concernent les choix techniques adoptés pour WhatsApp, comme lorsqu’il a fallu proposer une architecture de connexion aux messageries tierces, pour s’adapter au DMA.

Ensuite, parce que ces explications détaillées sont là pour convaincre que l’approche garantit l’utilisation de l’IA tout en préservant la confidentialité. Et pour montrer patte blanche, les fonctions de résumé sont pour l’instant optionnelles. Il faut se rendre en effet dans les réglages de l’application pour activer les résumés, qui ne fonctionnent pas sans Private Processing.

Mais on ne peut s’empêcher de se demander, comme dans le cas d’Apple d’ailleurs : cette débauche de moyens doit-elle déboucher sur quelque chose de tangible ? Même si dans le cas d’Apple on peut se douter que des fonctions payantes finiront bien par arriver pour rentabiliser ces investissements massifs, la question est plus prégnante pour WhatsApp.

Meta a mis en place une architecture complète pour ce qui n’est pour l’instant qu’une simple fonction de résumé. Cela signifie-t-il que d’autres capacités vont arriver par la suite ? Un bouquet payant sera-t-il proposé ? Ou au contraire, Meta choisira-t-elle d’explorer plus avant la piste des publicités ? Après tout, WhatsApp jurait ses grands dieux depuis le départ que jamais elles n’entreraient dans son application, toutes les pistes restent donc ouvertes.

Reste la question de la confiance. Le système de Meta est complexe et implique de faire confiance à l’implémentation de tous ces composants par l’entreprise. La problématique est la même que chez Apple et va au-delà de la simple image de marque. Meta, en tout cas, ne semble pas douter de son infrastructure d’attestation : « Pour contourner cette méthode d'attestation, il faudrait une collusion avec nos fournisseurs de matériel, ce qui est hors de portée ».

Le géant semble cependant assez sûr de son coup pour inviter officiellement les chercheurs indépendants à se pencher sur son infrastructure. Le programme de chasse aux bugs (bug bounty) a également été étendu à Private Processing.

Commentaires (19)

votre avatar
C'est techniquement impressionnant et sans doute une belle innovation d'un point de vue ingénierie logicielle et matérielle.
Cependant c'est encore un parfait exemple de moyens colossaux mis en œuvres pour un besoin qui n'existe pas.
votre avatar
[mode comercial au dents longue]
Un besoin qui n'existe pas est un marché d'avenir.
votre avatar
Cette invisibilisation de l'IA... limite de l'iaphobie. /s
votre avatar
On lisant l'article, j'ai pensé ( oui ça m'arrive, mais ça fait mal), faire des resumés de messages (qui par construction sous quand même censés être courts) je vois pas l'interet. Puis en voyant le terme image, par association d'idée. Je me suis dit se serait plus utile de faire de la description d'image et là j'ai fait tilt (en mode parano complotiste)

Messagerie chiffrée + resumé + image => solution clé en main à vendre pour le gourvernement américain pour la chasse en "terroriste" et épedophile" ....
votre avatar
ya de l'idée, de toute façon c'est presque certain qu'il y a anguille sous roche
votre avatar
et même si c'est pas le cas aujourd’hui , ça le sera demain...
votre avatar
D'après leur argument ce n'est pas possible puisque justement les données envoyés par le client sont anonymisées par des tiers de confiance qui eux même ne dispose de tout les éléments.

En vrai j'ai un peu de mal à voir ce qui les empêcherait réellement d'accéder aux moins aux données analysées. Et même si il ne peuvent pas identifier directement la source anonymisée qui les as fournis , le contenu en lui même pourrait le permettre rapidement (méta donnée en tout genre, nature de la conversation...)
votre avatar
Tout ça c'est des promesses. l'appli est pas opensource, et est mise à jour 3x/mois. A partir de là le game est plié. Ce qui est dit & fait maintenant peux être inversé demain.
votre avatar
En effet comme dit l'adage, toutes promesses n'a de valeur que pour celui qui les écoutes...
votre avatar
Ils parlent d'une débauche technique, mais globalement, rien ne peut garantir que tout est réellement mis en place dans 100% des cas.

Le traitement chiffré à 100% au niveau du CPU/GPU/mémoire, ça vaut si y'a pas une faille matériel ou logiciel qui pop.

L'anonymisation du client n'est valable à priori jamais, le jeton d'accès à WhatsApp implique d'office un lien quelque part entre le jeton et le compte utilisateur.

Partant de là, la confiance de base est rompue, même si toute la partie chiffrement ne fait pas défaut, Meta peut connaitre l'appétence du client avec ses outils AI.
votre avatar
que apple et meta se mettent à faire se genre de chose c'est qu'il y a un gros paquet à se faire il faut juste trouver comment, juste avoir des données en plus pour faire progresser leur ia me semble insuffisant
plusieurs hypothèses :
-cela permet de faire quand même du profiling ou de la recherche de certaine catégorie de personnes
-il y a une backdoor quelque part qui permet des accès et permettra de répondre aux demandes d'identification
-pleins de prestataires et usine à gaz = surface d'attaque énorme + faille potentielle énorme qui ne seront pas trouvées avant suffisamment longtemps pour que ce soit rentable

c'est certes désactivé par défaut pour l'instant mais sera actif par défaut dans un futur proche car oui il faut bien alimenté leur ia et leur faire gagner des tunes. Ce ne sont pas des associations caritatives donc si c'est fait c'est qu'il y a un jackpot à la clef.
votre avatar
https://www.decentriq.com/article/what-is-confidential-computing
The confidential computing market is set to grow to $350 billion by 2032.
votre avatar
Je dirais même plus, c'est déclaré desactivé par défaut. Qu'est-ce qui emêche d'en avoir un fonctionnement actif en "shadow". Un peu comme les comptes virutelles créés à partir des données des amis et connaissances communes.


- Souvenir d'y il a qlq années si je retrouve la source je l'indiquerai.

l'idée c'était que A, B et C était inscrit sur facebook avait D en commun, et avec les élements de A, B, C avaient en communs Tél. adresses, nom prénom, anniverssaire genre etc. et malgré de D ne c'était jamais inscrit sur Facebook, un compte fantôme avait été créé avec ses infos.


Apriori c'est ça :
fr.wikipedia.org Wikipedia
votre avatar
Boite noire, livre blanc et gros pipeau :D

La seule vraie confidentialité est à travers l'utilisation d'un chiffrement homomorphe, et dans la réalité, ça ne fonctionne pas trop (pour le moment)

Le "confidential computing", c'est juste du marketing où il faut avoir confiance en un ou plusieurs tiers inconnus
votre avatar
Je suis tombé sur cette intervention de Luc JULIA. Exercice simple et "ludique" à faire en cours... pour rappeler que non, l'IA n'est pas un outil magique... (bon, là, en l'occurrence, c'est avec ChatGPT)
votre avatar
Je ne vois vis tellement pas l'intérêt pour l'utilisateur de faire un résumé de messages qui, par essence, sont déjà courts...
votre avatar
A priori tu peut demander un résumer d'une conversation complète ou d'une section de plusieurs messages.

Quand je vois des potes dans un groupe qui balancent 170 messages en 2H alors que je suis au taf, un résumé ce serait pas de refus :kill:
votre avatar
[Mode Parano]
Comme ce n'est pas open-source avec des audits pour contrôler que ce code soit celui qui tourne sur les serveurs, ce livre blanc n'est qu'un exercice de pensées pour cacher que tous les échanges se font en clair.
[/Mode Parano]
votre avatar
la clé racine AMD
SPOF spotted ! :D

Comment WhatsApp propose des résumés IA sans pouvoir lire les conversations

  • Private Processing : de grosses ambitions

  • Attention les yeux

  • Attestation et confiance

  • Cloudflare et Fastly entrent en piste

  • Une transparence louable, mais…

Fermer