Lumo est un assistant IA pour les personnes qui se soucient de la confidentialité. Que vous rédigiez des e-mails, résolviez des problèmes techniques ou cherchiez simplement des réponses, Lumo vous aide à en faire plus sans compromettre vos données. Basé sur des modèles linguistiques open source et sur le chiffrement zéro accès de Proton, Lumo offre une alternative sécurisée aux outils d’IA grand public.

Explorons l’architecture derrière la conception de Lumo qui donne la priorité à la confidentialité et les fonctionnalités qui en font un choix de confiance pour des conversations IA privées et chiffrées.

Pourquoi la confidentialité dans l’IA est importante

Alors que les fuites de données et les atteintes à la vie privée prolifèrent, garantir la confidentialité des grands modèles de langage devient non seulement un défi technique, mais aussi un impératif éthique. Les gens consultent des assistants IA pour obtenir de l’aide sur des sujets sensibles, allant des problèmes de santé aux questions professionnelles confidentielles. Ils devraient pouvoir partager ce type d’informations sans craindre que leurs données ne servent à entraîner des modèles de langage, ne soient exploitées par de grandes entreprises technologiques ou des gouvernements, ou ne soient divulguées lors d’une fuite de données.

Chez Proton, nous créons des produits respectueux de la vie privée dès leur conception, et Lumo ne fait pas exception. Les personnes et les organisations devraient pouvoir utiliser l’IA en toute confiance, sachant que leurs informations les plus sensibles restent protégées.

Les défis du chiffrement de bout en bout complet pour les systèmes d’IA

Généralement, les modèles de sécurité des données de Proton incluent un chiffrement de bout en bout complet, comme dans nos produits de boite mail privée et d’espace de stockage cloud sécurisé. Pourquoi ? Parce que le chiffrement de bout en bout garantit que les données ne sont jamais accessibles à la plateforme elle-même. Par exemple, lorsque vous envoyez un e-mail dans Proton Mail, vos messages sont chiffrés sur votre appareil avant d’être envoyés aux serveurs et ne peuvent être ouverts que par le destinataire prévu. Proton ne peut pas les voir, et même si nos serveurs étaient compromis, les messages resteraient illisibles pour quiconque.

La mise en place d’un chiffrement de bout en bout complet pour les systèmes d’IA présente des défis uniques. Idéalement, les messages devraient être chiffrés de manière à ce que même le LLM ne puisse pas les lire. La technique la plus prometteuse pour cela est le chiffrement homomorphe (HE), parfois aussi abordé sous sa variante de chiffrement entièrement homomorphe (FHE). Cependant, le HE est très, très gourmand en ressources et extrêmement lent. Alors que les IA classiques comme ChatGPT répondent aux requêtes en quelques secondes, des expériences avec le HE ont montré des réponses prenant plus d’un jour(nouvelle fenêtre). Bien que la réussite technique soit impressionnante, attendre si longtemps une réponse n’est pas pratique.

De toute évidence, nous ne pouvons pas rester les bras croisés en attendant que le chiffrement homomorphe (HE) soit prêt. Nous devons trouver des solutions pratiques au problème du respect de la vie privée dans l’IA, et ce, dès aujourd’hui.

Heureusement, il existe d’autres moyens d’offrir un haut niveau de respect de la vie privée et une expérience utilisateur fluide. La sécurité est intrinsèquement liée à la praticité(nouvelle fenêtre) ; un système qui privilégie la sécurité au détriment de l’ergonomie risque d’être sous-utilisé, ce qui le rend moins protecteur au final.

Avec Lumo, nous mettons en œuvre plusieurs formes de chiffrement pour maximiser la confidentialité des utilisateurs. Comparée à d’autres applications LLM, l’implémentation de Lumo est tout simplement beaucoup plus robuste que n’importe quelle autre sur le marché. Pour comprendre pourquoi, nous devons examiner deux phases distinctes dans les interactions d’une personne avec l’IA :

Chiffrement en transit : Comment nous assurons-nous que les messages entre l’utilisateur et l’IA sont illisibles par quiconque ?

Chiffrement au repos : Comment garantir un espace de stockage privé à long terme ?

Chacune de ces deux étapes nécessite une solution distincte, que nous explorons dans les sections suivantes.

Chiffrement de l’utilisateur à Lumo (U2L) : sécuriser la voie vers le LLM

Notre première solution au problème de la discussion sécurisée avec une IA est de chiffrer toutes les communications entre l’appareil de l’utilisateur et Lumo. Généralement, avec le chiffrement de bout en bout, les deux « extrémités » sont humaines, mais ici, l’autre extrémité serait le modèle de langage lui-même. Comme indiqué ci-dessus, un véritable chiffrement de bout en bout (E2EE) qui contourne le serveur LLM serait beaucoup trop lent en utilisant le chiffrement homomorphe ou une autre méthode. Nous devons donc fournir au LLM des messages en texte clair.

À défaut de chiffrement de bout en bout, nous pouvons tout de même construire un canal de communication hautement sécurisé entre l’utilisateur et Lumo. D’une certaine manière, on pourrait définir cette configuration comme une forme de chiffrement de bout en bout où l’utilisateur est une « extrémité » et Lumo en est l’autre. Cela dit, nous reconnaissons que ce n’est pas la définition habituelle du chiffrement de bout en bout, c’est pourquoi nous préférons l’appeler chiffrement de l’utilisateur à Lumo (U2L) pour éviter tout malentendu.

Diagramme montrant comment Lumo chiffre vos requêtes et vos réponses

Pour atteindre notre objectif, nous utilisons un chiffrement asymétrique bidirectionnel classique et éprouvé entre l’appareil de l’utilisateur et le LLM. Voici les principales étapes :

  • Clé publique de Lumo : à l’avance, le serveur du LLM publie une clé PGP publique et statique pour tous les clients. Cette clé est récupérée par l’appareil de l’utilisateur et sera utilisée pour sécuriser la direction de la communication de l’utilisateur vers Lumo.
  • Chiffrement du message de l’utilisateur : l’appareil de l’utilisateur génère une clé AES(nouvelle fenêtre) symétrique pour la durée de la requête. Cette clé est utilisée pour chiffrer le message de l’utilisateur et la réponse du LLM. À chaque nouveau message, nous devons envoyer la conversation complète du début à la fin, car le serveur du LLM est sans mémoire et ne conserve aucun journal de la conversation d’une session précédente.
  • Chiffrement de la clé AES : la clé AES est chiffrée à l’aide de la clé PGP publique du LLM et incluse avec la requête. Cela garantit que seul le serveur du LLM, qui possède la clé PGP privée correspondante, peut déchiffrer la clé AES.
  • ID de la requête : l’application Lumo envoie un identifiant unique appelé ID de la requête en même temps que la requête, en utilisant un schéma de chiffrement courant connu sous le nom d’AEAD. Cet ID est utilisé pour authentifier que les messages de la requête sont confidentiels et qu’il s’agit du message original généré par l’utilisateur. L’AEAD garantit qu’aucun attaquant n’a remplacé le message ou la réponse par un message différent.
  • Chiffrement du message de l’utilisateur : lorsque l’utilisateur envoie un message à Lumo, le message est chiffré à l’aide de la clé AES. Cette clé est également utilisée pour chiffrer la réponse du LLM.
  • Chiffrement TLS : le message de l’utilisateur chiffré par AES, la clé AES chiffrée et l’ID de la requête sont envoyés aux serveurs de Proton via une couche de chiffrement TLS (HTTPS). Le chiffrement TLS est une pratique courante et standard, et la quasi-totalité des sites internet modernes le mettent en œuvre dans leur configuration de base. Il masque simplement le contenu de vos communications aux tiers sur le réseau, tels que votre FAI, les routeurs du réseau principal d’Internet et le FAI qui se connecte à notre centre de données. (Le chiffrement TLS a lieu sur chaque communication de votre appareil vers Proton, pas seulement pour Lumo.)
  • Routage interne : le message chiffré atteint les serveurs de Proton au point de terminaison TLS, où il est acheminé à travers une série de systèmes internes — équilibrage de charge, serveur d’application backend Lumo, files d’attente de messages, etc. — jusqu’à ce qu’il atteigne finalement le serveur du LLM. À ce stade, le message est toujours chiffré, ce qui signifie qu’aucun système intermédiaire au sein de Proton ne peut lire le contenu du message : ils se contentent de transmettre des charges utiles opaques au serveur du LLM.
  • Déchiffrement par le serveur du LLM : le serveur du LLM possède la contrepartie privée de la clé PGP avec laquelle la requête a été chiffrée, et peut donc déchiffrer la clé AES. En utilisant cette clé, le LLM peut voir le message déchiffré de l’utilisateur et le traiter directement. Le message en texte clair de l’utilisateur ne quitte jamais le serveur, et la requête n’est ni journalisée ni conservée par le serveur LLM après le traitement de cette requête.
  • Génération de la réponse : après avoir lu la requête de l’utilisateur, le LLM commence à générer une réponse. Cela se fait généralement en streaming, ce qui signifie que le LLM génère une séquence de sous-mots appelés jetons, ce qui produit l’effet mot par mot que vous avez tendance à voir dans la plupart des applications de discussion par IA, y compris Lumo.
  • Chiffrement de la réponse : pour chiffrer ces jetons lors de leur retour vers l’application Lumo de l’utilisateur, nous utilisons la même clé AES. Chaque paquet de jetons est chiffré avec la clé AES et authentifié avec AEAD en fonction de l’ID de la requête. Il traverse la couche réseau chiffré par AES, est ensuite acheminé à travers les systèmes internes de Proton en tant que charge utile opaque, puis est à nouveau chiffré avec le même canal TLS entre Proton et l’appareil de l’utilisateur, où il peut enfin être déchiffré.

Pour résumer, le message est chiffré à l’aide d’une clé AES symétrique, qui est elle-même chiffrée avec la clé PGP publique du LLM. Le serveur LLM déchiffre la clé AES et traite le message de l’utilisateur sur place. La réponse est chiffrée à l’aide de la même clé AES, ce qui garantit que le message en texte clair ne quitte jamais le serveur. Pour protéger votre vie privée, le serveur LLM oublie la requête dès que la réponse est générée.

Tout cela se produit automatiquement en arrière-plan, vous pouvez donc profiter des avantages de la discussion avec Lumo sans avoir à penser au chiffrement.

Chiffrement zéro accès au repos pour l’historique des conversations.

Une fois que le LLM a généré une réponse, nous pouvons utiliser un chiffrement zéro accès complet pour garantir une sécurité et une confidentialité de pointe pour l’historique de la conversation. Le serveur du LLM n’est pas impliqué dans cette étape ; la tâche consiste à conserver les données de l’utilisateur pour un stockage à long terme de manière à ce que seul l’utilisateur puisse les déchiffrer. Contrairement à la configuration utilisateur-Lumo décrite dans la section précédente, dans laquelle l’autre « bout » était le serveur du LLM, dans ce cas, les deux « bouts » sont l’utilisateur, ce qui correspond à la définition traditionnelle du chiffrement de bout en bout. En d’autres termes, aucun système chez Proton ne peut jamais lire l’historique d’une conversation Lumo.

Nous utilisons une technique de chiffrement robuste, similaire à celle utilisée dans Proton Mail, Drive et Calendar, qui combine le chiffrement asymétrique et le chiffrement à clé secrète (symétrique). Cette méthode garantit que seul l’appareil de l’utilisateur peut déchiffrer les données stockées.

Chaque élément de contenu, y compris les messages, les métadonnées de conversation et les pièces jointes, est chiffré à l’aide d’un ensemble de clés symétriques appelées clés de conversation. Ces clés de conversation sont elles-mêmes chiffrées à l’aide d’une clé maîtresse symétrique, qui est unique à chaque utilisateur. Enfin, la clé maîtresse est également chiffrée, cette fois de manière asymétrique, à l’aide de la paire de clés PGP de l’utilisateur, qui nécessite le mot de passe de l’utilisateur pour être déverrouillée. Cela signifie que le mot de passe de l’utilisateur est la couche de sécurité ultime et la pierre angulaire de la solidité de ce système. C’est essentiellement le même principe — bien qu’avec une structure de hiérarchie de clés légèrement différente — qui sécurise vos données dans les autres applications Proton ; dans tous les cas, le mot de passe de votre compte est toujours le verrou suprême de votre coffre-fort de données.

Après qu’un utilisateur a envoyé un message à Lumo et reçu une réponse, l’application client ferme la connexion sécurisée par PGP décrite dans la première section et se prépare pour le stockage à long terme de la conversation. Elle commence par chiffrer les deux messages à l’aide de la clé de conversation. Ces messages chiffrés sont ensuite envoyés aux serveurs de Proton pour être stockés dans nos centres de données. Bien que les fichiers soient stockés sur nos serveurs, le chiffrement zéro accès nous empêche (ainsi que quiconque) de les ouvrir. Mais les utilisateurs peuvent se connecter à leur compte et accéder à l’historique de leurs conversations dans la barre latérale gauche de l’application Lumo.

De plus, les données de la conversation sont mises en cache dans le stockage local du navigateur, en suivant le même schéma de chiffrement. Cela signifie que même si quelqu’un vole votre disque dur, vos données restent sécurisées tant que le voleur ne connaît pas votre mot de passe.

En mettant en œuvre cette approche de chiffrement multicouche, nous garantissons que vos conversations avec Lumo sont non seulement sécurisées en transit, mais aussi protégées au repos. Cet engagement envers la confidentialité et la sécurité est au cœur de tout ce que nous faisons chez Proton, et nous sommes fiers d’étendre ces principes au monde de l’IA.

Conclusion

Sans aucun doute, les LLM sont l’une des inventions les plus révolutionnaires de la dernière décennie, mais les principales plateformes d’aujourd’hui ne parviennent souvent pas à fournir des protections robustes de la vie privée, laissant les données des utilisateurs vulnérables à l’exploitation. Ces entreprises peuvent utiliser vos discussions avec l’IA pour entraîner davantage leurs systèmes, ce qui pourrait entraîner la fuite d’informations sensibles que vous fournissez. Ce qui est plus problématique, c’est que vos données peuvent rester disponibles pour toujours dans une base de données des géants de la tech. Elles peuvent décider à tout moment de réaliser un profit en les vendant ou de les partager avec des tiers — ce ne serait pas la première fois(nouvelle fenêtre) — ou vos conversations pourraient être exposées lors d’une fuite de données. Le climat politique est également incertain et personne ne peut prédire ce que les gouvernements feront s’ils accèdent à vos données.

Avec Lumo, nous offrons une alternative privée. Premièrement, vos messages sont chiffrés sur l’ensemble du réseau, y compris le pipeline interne de Proton, jusqu’à ce qu’ils atteignent le LLM, qui ne conserve aucun journal de vos conversations. Sur le chemin du retour, la réponse est sécurisée avec la même stratégie de chiffrement, garantissant que votre message ne franchit jamais aucune frontière réseau sans être chiffré. Deuxièmement, votre historique de conversation est chiffré zéro accès à l’aide d’un second processus de chiffrement. Nous utilisons un chiffrement au repos classique, protégé par le mot de passe du compte, qui n’est connu que de l’utilisateur. Cela utilise les mêmes principes éprouvés que ceux qui sous-tendent Proton Mail, Proton Drive, Proton Pass et nos autres services qui protègent les données de plus de 100 millions de personnes.

En fin de compte, ce qui nous importe, c’est que ces solides garanties soient accessibles à tous, et pas seulement aux personnes férues de technologie qui recherchent déjà des outils de protection de la vie privée. C’est pourquoi nous avons conçu l’expérience de manière à ce que les utilisateurs n’aient pas besoin de penser à la cryptographie qui se cache derrière. C’est, à notre avis, là que la sécurité devient vraiment utile — quand elle est pratique.

Nous espérons que vous aurez des discussions fluides, agréables et — surtout — sécurisées avec Lumo.