Tu gardes tes messages chiffrés et ton bureau verrouillé. C'est le deal — Signal pour les conversations, un écran verrouillé pour tout le reste. Deux murs, deux portes, les deux fermées.

Mais si une seule entreprise te demandait de lui filer les clés des deux portes en même temps ?

Hier, on a couvert comment xAI a sorti deux produits contradictoires la même semaine — Grok Computer (une IA qui regarde ton écran) et XChat (une messagerie qui promet que personne ne regarde rien). Même boîte. Même semaine. Comportement tout à fait normal.

Depuis, le tableau s'est assombri. Considérablement assombri.

La porte dérobée qu'on est censé ignorer

Le pitch vie privée de XChat semble blindé : chiffrement de bout en bout (seuls l'expéditeur et le destinataire peuvent lire les messages), messages éphémères, blocage des captures d'écran. Solide, non ? Puis ByteIota a rapporté le 18 avril ce qui se passe quand tu utilises vraiment l'appli. XChat a une fonctionnalité appelée « Ask Grok » — tu fais un appui long sur n'importe quel message, tu tapes sur le bouton, et ton message chiffré s'envole vers les serveurs de Grok en clair. Pas de chiffrement. Pas d'avertissement. Juste du texte brut, livré directement à la même entreprise qui surveille aussi ton bureau via Grok Computer.

C'est comme installer une porte de coffre-fort et découper une chatière en plein milieu. Techniquement, la porte est toujours là, oui.

Les clés sont à l'intérieur de la maison

X stocke tes clés de chiffrement via le protocole Juicebox, en les divisant en trois parties. Les trois parties vivent sur les propres serveurs de X. Le 18 avril, le professeur de cryptographie Matthew Green a qualifié cela de « vulnérabilité de type game over ». Pas de forward secrecy — ce qui signifie que même si tu arrêtes d'utiliser XChat demain, une compromission future des clés déverrouille tous les messages que tu as jamais envoyés. Pas certains messages. Tous.

Et le label de confidentialité de l'App Store ? Selon une analyse de KuCoin publiée le 18 avril, XChat collecte quatre catégories de données personnelles : localisation, données de contact, historique de recherche et contenu utilisateur. Pour une appli qui se vend comme « No Ads, No Trackers » auprès des 550 millions d'utilisateurs de X. On admirerait presque le culot si ce n'étaient pas tes données en jeu.

Musk avait promis avant le lancement du 18 avril de publier le code en open source et de lancer des audits de sécurité indépendants. Au 19 avril 2026 : pas de repo GitHub. Pas de rapport d'audit. Pas de revue tierce. Juste la promesse, suspendue dans le vide comme un commentaire TODO de 2019 que personne n'a jamais assigné.

« Irresponsable », ce n'est pas un éditorial — c'est une citation

Pendant ce temps, Grok Computer — l'agent de bureau qui capture la vidéo en temps réel de ton écran, ouvre des applis, remplit des formulaires, clique sur des boutons — xAI l'a lancé avec exactement zéro documentation de sécurité publiée. Pas de model card, c'est-à-dire le rapport standard détaillant ce qu'une IA peut faire, quels risques l'équipe a testés et quels garde-fous existent. Pour contexte : Anthropic a publié une model card détaillée pour leur fonctionnalité Computer Use. OpenAI en a publié une pour Operator. xAI a publié... un tweet.

Le 17 avril, le chercheur d'Anthropic Samuel Marks a qualifié le lancement d'« irresponsable » et d'écart par rapport aux « meilleures pratiques de l'industrie ». Quand un chercheur d'un labo d'IA concurrent s'inquiète publiquement pour tes utilisateurs, et le dit officiellement, ce n'est pas de la rivalité — c'est un signal de détresse.

Tu connais déjà le contexte : tous les cofondateurs originaux de xAI sont partis, Apple a menacé de retirer Grok de l'App Store à cause de contenus deepfake, et Musk lui-même a admis que xAI « n'avait pas été construite correctement la première fois ». Même schéma, nouvelles preuves.

L'équation de confiance

Voici donc ce entre quoi tu choisis réellement. Grok Computer : accès total au bureau, zéro évaluation de sécurité publiée, une entreprise qui n'a même pas réussi à garder son équipe fondatrice. XChat : un « chiffrement » qui envoie du texte en clair à Grok dès que tu appuies sur un bouton, stocke tes clés sur l'infrastructure de X, et contredit ses propres labels App Store sur les quatre catégories de données qu'il prétend ne pas collecter.

Deux produits. Même entreprise. Même déficit de confiance.

Dans l'économie de la confiance en IA, xAI continue de signer des chèques sur deux comptes opposés. L'un dit « Je verrai tout. » L'autre dit « Personne ne verra rien. » Aucun des deux n'est provisionné — et la banque vient de perdre tous ses guichetiers.