ExpressAI : la confidentialité IA qui ne repose pas seulement sur la confiance
La tendance est là. Proton a lancé Lumo. ExpressVPN vient de lancer ExpressAI. L’IA privée s’impose comme le prochain terrain de différenciation dans le secteur. La différence, ici, c’est qu’ExpressAI arrive avec une architecture plus vérifiable que la moyenne, et un audit public pour l’examiner.
Ce qu’ExpressAI apporte de nouveau, ce n’est pas une IA « privée » au sens vague du terme, mais une tentative crédible de déplacer la confiance depuis la déclaration du fournisseur vers une architecture auditée. Voilà ce que nous avons trouvé en lisant le rapport de cure53 en entier.
ExpressAI : le principe, en deux phrases
La plupart des outils IA vous demandent de faire confiance à l’opérateur. ExpressAI repose sur une architecture d’enclaves sécurisées (AMD SEV-SNP) conçue pour empêcher l’accès aux contenus traités, y compris côté fournisseur, sur le périmètre audité. Ce n’est pas seulement une confidentialité contractuelle : c’est une protection ancrée dans l’architecture technique.
Cure53, le cabinet d’audit berlinois, a vérifié ça en mars 2026 sur 22 jours de tests en boîte blanche. Leur conclusion : sur le périmètre audité, le produit atteint ses objectifs de confidentialité déclarés.
La différence avec des services comme Lumo tient surtout au modèle de confiance mis en avant. Proton insiste davantage sur son cadre institutionnel et son écosystème. ExpressAI, lui, met au premier plan une barrière architecturale auditée. Ce ne sont pas forcément deux niveaux de qualité, mais deux manières différentes de construire la crédibilité.
Ce que l’audit a vraiment trouvé
19 problèmes identifiés, dont trois classés en sévérité élevée,et c’est là que ça devient intéressant.
La plus sérieuse : la vérification des measurements de l’enclave était tout simplement désactivée côté frontend. Le code fixait checks.measurementTrusted = true sans aucune comparaison réelle. Avant correction, la vérification côté frontend n’assurait pas réellement que l’attestation reçue correspondait bien à une enclave authentique exécutant le code attendu. Ce qui vidait la vérification frontend d’une partie essentielle de son sens.
ExpressVPN dit que c’était un artefact du processus de développement. Peut-être. Mais ça existait.
Les deux autres de niveau élevé : un path traversal permettant d’altérer la configuration des enclaves, et un 0-day dans la bibliothèque de parsing .docx. Les deux corrigés pendant la phase de test.
Tout a été corrigé et vérifié avant publication. La réactivité est là. Mais ces failles existaient au moment où le produit était prêt à sortir, et ça mérite d’être dit.
Ce que l’enclave ne protège pas
Trois limites que la page produit ne met pas au premier plan.
Les conversations stockées. ExpressVPN l’assume dans l’audit : la forward secrecy n’est pas un objectif de conception. Si vous comptez conserver des historiques sensibles, prenez-le au sérieux : la protection des conversations stockées repose moins sur une propriété cryptographique forte que sur la solidité durable de votre mot de passe maître.
Le comportement des modèles. Les cinq modèles disponibles au lancement, GPT OSS 120B, DeepSeek R1 Distill 32B, Qwen2.5-VL 32B, Qwen3.5 35B-A3B et Nemotron 12B, sont auto-hébergés dans l’enclave. Vos prompts ne partent pas chez DeepSeek ou OpenAI. Mais l’exécution en enclave ne change pas les comportements propres au modèle utilisé. L’enclave protège le canal, pas ce que le modèle décide de faire à l’intérieur.
Les couches périphériques. L’infrastructure tourne sur AWS us-east-1. Les enclaves reposent sur AMD et NVIDIA. L’écosystème technique est largement américain, avec ce que ça implique comme pression légale potentielle sur les éléments hors enclave : compte, métadonnées, journaux d’accès. L’enclave est conçue pour résister à un accès opérateur, et Cure53 juge l’objectif atteint. Mais les couches périphériques ne sont pas dans ce périmètre.
Est-ce que ça vaut quelque chose ?
Pour un usage courant, analyser des documents pro, coder, rédiger sans nourrir Google ou OpenAI, oui, clairement. C’est techniquement plus sérieux que ce que le marché grand public propose habituellement sur la confidentialité IA.
Pour un profil à risque élevé : l’architecture est solide sur le périmètre audité. Mais les limites ci-dessus ne sont pas des détails.
« Privé par conception » a un périmètre précis. Cure53 l’a vérifié sur ce périmètre. Le reste, c’est à vous de le lire.
L’intérêt d’ExpressAI n’est pas de rendre la confiance inutile, mais de réduire la part de confiance purement déclarative dans un marché qui en abuse.
A propos de l'auteur : Lisa
Fondatrice de VPN Mon Ami
Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.
Note de transparence :
Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.
Si vous décidez d’essayer un service via le lien fourni, l’équipe recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.
Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.
