Lors de la réception d'un courriel pour la prise de rendez-vous RSA, j'ai voulu me fier au protocole indiqué par le site CyberMalveillance.gouv.fr pour savoir s'il s'agissait d'un phishing.
Si j'avais suivi les recommandations du site CyverMalveillance, ce mail aurait fini à la corbeille. Et j'aurai perdu du temps, de l'énergie et cette précieuse aide financière...
« Faites ce que je dis, pas ce que je fais », l'analyse ⬇️
L’émergence et la démocratisation de l’intelligence artificielle (IA) au quotidien, notamment dans le monde de l’entreprise, peut amener à un changement radical de la manière de travailler. Les gains de productivité très importants permis par l’IA en font un outil de plus en plus incontournable. Sous-domaine de l’intelligence artificielle, l’IA générative représente une avancée considérable pour les entreprises, offrant des perspectives inédites en matière d’automatisation, d’optimisation et d’innovation.
Ce développement rapide de l’IA suscite à la fois fascination et inquiétudes. Ces craintes peuvent découler d’une méconnaissance des mécanismes de l’IA, de doutes concernant ses conséquences sur l’emploi, ou encore de préoccupations éthiques liées à la confidentialité et à l’automatisation de la prise de décision.
Dans le cadre de sa mission de sécurité économique, la DGSI accompagne les sociétés et les établissements de recherche dans la prise en compte des risques d’ingérences étrangères liés à ces outils novateurs. Ce « flash ingérence » évoque le cas de trois entreprises françaises ayant été confrontées à des dérives ou des comportements à risque associés ou permis par l’usage de l’IA.
je suis tombé sur une discussion sur les réseaux sociaux qui se résumait à "Savez-vous combien il y a d'ordinateurs dans votre ordinateur ?"
Parce que désormais, une carte Ethernet n'est plus juste une carte Ethernet. C'est un CPU ARM qui choisit de passer les paquets à l'OS (via PCI ou autre). Et notre matériel est littéralement rempli de mini-ordinateurs en charge de gérer tout un tas de choses : audio, vidéo, réseau, bluetooth, wifi, USB, stockage, connectique...
Et chacun de ces mini-ordinateurs a son propre OS... et donc aussi ses failles de sécurité. Ces "OS embarqués" peuvent très bien être infecté sans la moindre trace, sans même que le système d'exploitation principal de la machine (Windows, Linux...) le voit, puisque ce sont des mémoires auxquelles l'OS n'a pas d'accès.
Les implications sont absolument énormes.
Ce qui m'amène à cet article : https://currentindia.com/channels/timesofindia/toi-world/yes-they-can-former-cia-spy-warns-agencys-tools-can-takeover-your-phone-tv-and-even-your-car/
Oui les possibilités de piratage de nos appareils sont colossales, et probablement déjà exploitées.
A massive WhatsApp security flaw exposed the phone number of almost every user on the planet – despite the fact that parent company Meta had been alerted to the vulnerability way back in 2017.
(commentaire piqué à Tristan Nitot @nitot@framapiaf.org)
WhatsApp, le produit de Meta (ex-Facebook), vous savez, la messagerie qui prétend protéger la vie privée, a laissé fuiter 3,5 milliards de numéros de téléphone suite à une faille de sécurité...signalée il y a 8 ans
Pour faire face à la répression et la surveillance (par exemple le 10 septembre prochain), pourquoi ne pas suivre une formation de base sur la sécurité militante ?
XR a mis en ligne sa documentation
Un intéressant tableau comparatif des applications de messagerie chiffrées. En particulier on y trouve les informations : Forme juridique, juridiction (pays de rattachement), chiffrement des méta-données, etc.
C'est très complet.
(via SebSauvage à qui j'ai piqué la description)
Alors là, Amazon vient de se prendre une sacrée claque. Leur assistant IA pour coder, Amazon Q, s’est fait pirater et a failli transformer des milliers d’ordinateurs en grille-pain. Le pire c’est que le hacker l’a fait exprès pour leur donner une leçon sur la sécurité.
Imaginez un peu la scène… vous êtes tranquillement en train de coder avec votre extension VS Code préférée, celle qui vous aide à pondre du code plus vite grâce à l’intelligence artificielle. Sauf que là, sans le savoir, vous venez de télécharger une version qui contient littéralement une instruction pour tout effacer sur votre machine. C’est sympaaaaa non ?
Mélangez de l'IA et une sécurité défaillante pour obtenir une belle catastrophe !
Tableau comparatif entre différentes messageries plus ou moins sécurisées (Google Messages, Apple iMessage, Facebook
Messenger, Element (Matrix), Signal, Telegram, Threema, Viber)
Les victimes potentielles sont partout dans le monde. Les hackeurs s’en sont pris à une “importante vulnérabilité” de SharePoint, un logiciel collaboratif du géant américain qu’utilisent des millions d’entreprises et d’administrations dans le monde.
Selon les chercheurs, ces données constituent d'emblée « un plan directeur pour l'exploitation de masse ». Car contrairement aux fuites recyclant d'anciennes brèches, ces informations seraient quasi-intégralement inédites. Seule exception : la base de 184 millions mentionnée précédemment, qui fait déjà partie de cet ensemble colossal.
Le format standardisé URL-identifiants-mot de passe transforme ces données en arsenal redoutable. Les experts avertissent d'ailleurs et insistent : « Ce ne sont pas de vieilles brèches recyclées, mais de l'intelligence fraîche et exploitable à grande échelle. » Une mine d'or pour cybercriminels aguerris.
TL;DR : CHANGEZ TOUS VOS MOTS DE PASSE !
En somme, cette technologie truste 3 des 5 premières places parmi les risques les plus redoutés des 231 dirigeants IT et métiers interrogés, ces derniers étant issus de 15 pays différents.
La liste des fuites du moment par Aeris, avec les données impactées.
GG
Le groupe de hackers de renommée mondiale baptisé les « ShinyHunters » a affirmé, sur un forum en ligne, que les données subtilisées comprenaient les noms, les adresses, les numéros de téléphone et une partie des détails des cartes de crédit des clients de Ticketmaster. Les données piratées étaient disponibles pour 500 000 dollars, soit quelque 460 000 euros, dans le cadre d’une « vente exceptionnelle », selon le message. Plus de 560 millions de clients de Ticketmaster seraient concernés.
La direction de France Travail avait été alertée par ses services informatiques qu'une faiblesse dans la sécurité pourrait être exploitée en cas d'attaque. Or, c’est exactement ce qui s’est passé en mars 2024, lorsque 43 millions d’usagers ont vu leurs données piratées.
Et voilà comment on perd les données personnelles de plus de 40 millions de citoyen⋅nes français⋅es.
Et sinon, "z'inquiétez pas, c'est super sécurizay", vous comprenez bien maintenant que c'est du bullshit ?
Les injections de prompt, voilà les attaques qui m'effraient le plus avec les IA...
Ça va saigner, c'est 100% garanti
Nous sommes un collectif hacker-féministe qui lutte contre l’utilisation de la technologie dans les violences sexistes et sexuelles. Créée en 2020, Echap s’est constituée en association loi 1901 afin d’apporter des ressources et du soutien aux associations luttant contre les violences faites aux femmes et aux minorités de genre.
Nous focalisons nos actions sur :
l’animation d’ateliers et de formations ;
la création et mise à jour de documentation et de guides ;
Un soutien technique aux associations travaillant avec des personnes victimes de violences.
Nous produisons et maintenons à jour des guides de sécurité et confidentialité sur la protection de comptes en ligne, d’appareils électroniques ou plus généralement comment se déconnecter d’un ex-partenaire.
Il y a quelques années, le collectif féministe queer Cypher Sex a rédigé et publié un excellent guide sur la sécurité numérique pour les travailleurs du sexe.
Inspirxées par leur travail et concernxées par la thématique, nous l’avons traduit vers l’allemand et le français et adapté au contexte suisse.
La faille est critique et déjà exploitée par des pirates. Tous les détails ne sont pas encore connus (le temps que les mises à jour soient installées afin d’éviter d’aggraver la situation). WebP est pour rappel un format d’image développé par Google.
si vous utilisez Firefox pensez à mettre à jour Firefox, si vous utiilsez Chrome (et ses cousin⋅es Brave et Edge et autres...) pensez à dégager Chrome et à installer la dernière version de Firefox. Si vous utilisez Safari, passez à un truc moderne (genre Firefox).
