Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
Bonjour à tous, cette semaine on plonge dans les enjeux du numérique. Bonne lecture !
L'agenda
Dans le cadre de son événement annuel "La REF numérique", le MEDEF organise une journée de réflexion sur l'informatique quantique le mardi 11 mars à partir de 9h30, au 55 avenue Bosquet, Paris 7e. Les détails de l'événement, le formulaire d'inscription et les replays sont disponibles sur
sa page web.
Gratuit sur inscription.
Du 10 au 15 mars à Lausanne aura lieu le sommet
Insomni'Hack. Les conférences sur la cybersécurité s'accompagnent d'ateliers et d'un CTF en ligne (les inscriptions pour le CTF sont closes).
Sur inscription et payant.
Libertés : Error404 Democracy not found
États-Unis : vers un démantèlement de la cybersécurité au niveau fédéral ?
Cette semaine, la presse a oscillé entre le relais des révélations publiées dans
The Record,
The Guardian et
The Washington Post et les dénégations – puis la mise en perspective – du CISA (Cybersecurity and Infrastructure Security Agency) et du commandement interarmées Cyber Command.
Mathilde Saliou fait le point et remet en contexte : juste avant la rencontre télévisée entre D. Trump et V. Zelensky, ces journaux ont fait état d'un mémo fournissant au CISA excluant la Russie de ses priorités, et aussi de directives orales auprès des analystes de l'agence, selon lesquelles ils ne devraient plus suivre ou rendre compte des menaces russes. Simultanément, le ministre de la défense aurait ordonné au Cyber command de mettre en pause toutes les activités en cours concernant la Russie durant le temps des négociations en cours. Ce sont ces deux informations qui sont aujourd'hui niées par les agences concernées. Si toutefois elles étaient avérées,
des analystes expriment leurs craintes quant aux graves menaces qu'une dépriorisation de la cybermenace russe ferait peser sur la sécurité de l'information aux États-Unis. Car pendant ce temps, les agences russes, elles, continuent leurs opérations.
Ces inquiétudes s'ajoutent à celles sur les coupes budgétaires frappant les agences de sécurité nationale,
exprimées ici par un ancien de la NSA.
Cerise sur le gâteau, le Pentagone a lancé un programme, Thunderforge Project, dont l'objectif est d'automatiser la planification stratégique et opérationnelle
en la confiant à une IA agentique. L'article nous rappelle que des modèles d'IA similaires, créés aux États-Unis, sont déjà utilisés en Israël. C'est supposé nous rassurer ?
Infox, propagande et censure
On commence par cette étude des dix chatbots les plus utilisés en entreprise, menée par l'association American Sunlight Project, et démontrant
leur empoisonnement par le réseau de désinformation pro-russe Portal Kombat. L'étude inclut entre autres Chat-GPT, le Chat, Grok, et Copilot. Et donc, il y a encore des gens qui sourcent leur travail avec des IA génératives ?
Le même web journal (Next en l'occurrence) nous dresse un récap' de leur enquête au long cours sur
le sites "d'information" générés par IA. Commencé il y a peu plus d'un an, leur travail en répertorie maintenant des milliers.
Ces deux données combinées font froid dans le dos : on a là les ingrédients nécessaires à la fabrique d'une caisse de résonance d'une puissance inédite pour les opérations de déstabilisation et la diffusion d'infox.
Le pendant d'une démarche visant à diluer la réalité dans des "vérités alternatives", c'est de rendre la science inaccessible. Le Federal Environmental Web Tracker, un outil créé pour documenter les modifications et suppressions des pages web des agences scientifiques fédérales lors du premier mandat de D. Trump, est à nouveau en service. Et sans surprise,
les termes et données relatifs au changement climatique sont supprimés ou altérés.
Le chapô de l'article résume parfaitement la situation :
"Les sciences, c’est so 2024". De la désorganisation à l'expression publique d'hostilité envers la NASA, en passant par les licenciements et la perte de locaux de travail, le DOGE tape particulièrement dur sur les agences scientifiques.
Les mouchards de la semaine
L'autre grand sujet de l'actu de la semaine a été le retour des velléités d'espionnage d'état sur les conversations chiffrées de bout-en-bout.
Commençons par une piqûre de rappel sur les raisons pour lesquelles cette idée est dangereuse :
par un expert en cryptographie.
Dans une recherche de compromis, B. Retailleau, en sa qualité de ministre de l'Intérieur, a proposé de remplacer le dispositif des backdoors par celui du "fantôme" (les données restent chiffrées de bout-en-bout, mais un doublon est envoyé aux services de police ou de renseignement)
Et c'est encore une mauvaise pioche, puisque cela altère le mécanisme de l'échange de clés de chiffrement.
En fin de compte,
l'article 8ter a été retoqué par la commission parlementaire dans un quasi-consensus transpartisan.
La Grande-Bretagne, en revanche, a adopté la possibilité pour les services de l’État d'accéder par une porte dérobée aux conversations chiffrées. Et pas seulement pour les citoyens britanniques, mais pour tous les usagers du service visé. Cette mesure effarante avait conduit Apple à retirer sa solution de chiffrement de bout-en-bout du marché britannique. On apprend maintenant
qu'ils attaquent au tribunal le services de sécurité. Et il y a de bonnes chances qu'ils l'emportent.
L'affaire vient à point pour démontrer que les services de police se débrouillent très bien sans porte dérobée : Amnesty International
la police serbe a déverrouillé le téléphone d'un militant en utilisant une technique mise au pint par Cellebrite, une société de forensic israélienne. Celle-ci a annoncé qu'il s'agissait d'un détournement d'outils qui n'étaient pas conçus pour un usage offensif, et qu'en conséquence ils suspendaient l'utilisation de leurs logiciels. Une fois l'appareil déverrouillé, les policiers ont tenté d'installer un logiciel inconnu, qui pourrait être un logiciel espion.
En matière de géolocalisation, ce n'est un secret pour personne que nos téléphones portables sont de véritables espions. Pourtant, de nombreux employés de domaines sensibles tels que
le transport de fonds, le nucléaire, et même le renseignement semblent tarder à prendre la pleine mesure de la faille de sécurité que représente leur téléphone personnel sur leur lieu de travail.
Habituée à exercer sa surveillance sur les conversations des Palestiniens des territoires occupés, l'armée israélienne a fait d'une pierre deux coups, et
a entraîné un LLM sur les écoutes de ces conversations. Il suffisait d'y penser…
Saluons enfin comme il se doit ceux sans qui la techno-surveillance serait restée une lointaine dystopie :
Google, Meta et Apple alimentent la croissance exponentielle des requêtes de données du gouvernement états-unien, qui atteint plus de 500,000 requêtes bi-annuelles.
Et si vous comptiez sur Firefox pour préserver votre vie privée, vous feriez bien de jeter un œil sur
les nouvelles conditions d'utilisation en vigueur. Elle sont plus que floues sur l'utilisation des données utilisateur que s'autorise désormais Mozilla. C'est l'histoire désormais banale de l'enshitification : après avoir conquis son public grâce à ses pratiques vertueuses en matière de protection des données, la Fondation se voit contrainte d'augmenter sa rentabilité, donc de revendre des données.
Les braqueurs de la semaine
Alors qu'une opération internationale
met fin aux activités du Russe Garantex avec le concours des États-Unis, D. trump a signé un décret pour créer sous 30 jours
une réserve nationale de bitcoins alimentée par les saisies de cryptomonnaies réalisées par les autorités états-uniennes.
La Corée du Nord, quant à elle, continue sa campagne de vrais-faux travailleurs IT cherchant à obtenir des postes en full remote, mais cette fois ce n'est pas à des fins d'espionnage. Il s'agit de faire travailler ces gens pour que
leurs salaires financent le programme d'armement nucléaire.
Souveraineté
Dans un contexte international devenu très instable autour de la guerre en Ukraine, l'Europe réalise une avancée significative dans sa souveraineté et sa prise de distance avec les États-Unis en engageant des discussions autour du
possible remplacement de Starlink par Eutelsat dans le cadre de l'accès ukrainien au réseau.
Un monde rIAnt
Un billet d'Irénée Régnauld résumant le travail de chercheurs autour de
huit mythes à déconstruire autour de l'IA voit cinq de ces points illustrés par l'actualité de la semaine, et va donc nous servir de fil conducteur :
- #1 "L'IA est artificielle" : non, l'Ia n'est pas une entité indépendante, mais au contraire profondément dépendante du travail humain. Cette dépendance est illustrée par les questions juridiques que soulève le data scrapping, et la reconnaissance par un tribunal des droits d'auteur bafoués par l'IA de Meta.
- #3 "L'IA rendra le monde meilleur" : ce n'est manifestement pas l'avis de Meredith Whittaker, qui avertit que l'IA agentique présente de sérieux problèmes de vie privée et de sécurité. Par ailleurs, Google signale que son modèle Gemini a servi à la création de deepfakes terroristes.
- #4 "L'IA est objective et impartiale" : le fait que l'IA n'est pas digne de confiance est magistralement démontré, non seulement par les hallucinations fréquentes, mais par des tests montrant que des modèles trichent et ignorent les instructions. Et encore, ceci peut être imputé à des bugs techniques, mais Google bridant et manipulant les réponses de Gemini à des questions politiquesdémontre assez à quel point les IA héritent des biais humains de leurs éditeurs et développeurs (volontairement ou non).
- #5 "Les États-Unis sont la seule superpuissance en matière d’IA" : non, rien n'est joué et c'est justement l'objet de rivalités entre grandes puissances. Eric Schmidt, l'ancien patron de Google, pense que la volonté des États-Unis d'imposer leur leadership sur l'IA est néfaste, et appelle à une coopération internationale.
- #6 "L’IA n’affectera pas significativement le marché du travail" : le marché de la presse par exemple, est en train d'affronter ce bouleversement. Non seulement à cause de la pollution numérique des "sites d'information" générés par IA (cf. infra, rubrique "Infox, etc."), mais aussi parce que la GenAI génère 95,7 % de clics en moins vers leurs sites.
En conclusion, toutes ses croyances erronées sur l'IA ont une conséquence inattendue sur le secteur de l'IT : il est plus en plus fréquent que
les cadres doivent se consacrer à des tâches de dekunkage.
La zone libre
Pas de bonnes nouvelles ici non plus :
Chrome cesse de tolérer la présence de l'extension Ublock Origin. Le blocage vient du Manifest V2, qui détermine les droits des extensions, que Google considère trop importants "pour des raisons de sécurité et de performances". Il existe une version "Lite" de Ublock Origin basée sur Manifest V3, dont les droits sont plus restreints, mais qui du même coup est moins efficace pour bloquer les ads. C'est ballot...
Petit rappel
l'utilité de Ublock Origin, et de ce qui en fait un outil indispensable pour la sécurité sur le web, écrit sous forme de retour d'expérience en milieu professionnel.
Enjeux écologiques & sociaux
Les damnés de la tech
Disponible en replay sur le site de France Télévisions,
le documentaire "Les sacrifiés de l'IA" montre l'envers du décor de l'IA, celui des data workers, de l'extractivisme et du tri des déchets issus des big tech.
Sous d'autres latitudes, l'IA est aussi porteuse d'exploitation : Sergey Brin, un des co-fondateurs de Google, veut que
ses équipes IA travaillent 60 heures par semaine.
La cybercriminalité charrie également son lot de victimes :
plus de 7,000 personnes réduites en esclavage ont été libérées de camps birmans dédiés aux escroqueries en ligne. D'origines diverses, ses personnes attendent leur rapatriement dans des centres thaïlandais aux conditions précaires, tandis que le gouvernement de Thaïlande exige des garanties de la part des pays d'origine avant de les accueillir.
Ceux qui, comme moi, cherchent une alternance dans la cybersécurité le savent : on dit partout que le secteur est en tension, et pourtant les places restent chères.
Cet article se penche sur les cause de ce paradoxe apparent.
Inclusiv-IT
Hier, c'était la journée des femmes. Nous allons donc ouvrir cette rubrique en questionnant la place des femmes dans la tech, et les retours ne sont pas bons.
Ici, on détaille les raisons du mécontentement des femmes en cybersécurité : déjà très minoritaires, elles sont plus concernées par la réduction des effectifs et les gels de promotion. Et à cause des inégalités de répartition des tâches domestiques et familiales, elles sont plus pénalisées par le retour au présentiel.
Du côtés des utilisatrices, il n'a pas de quoi se réjouir non plus : selon les statistiques du ministère de l'Intérieur,
66% des victimes d'atteintes numériques sont des femmes entre 18 et 44 ans, alors qu'elles ne représentent que 22% de la population française.
Le leader français des call center
Teleperformance utilise l'IA pour modifier l'accent de ses employés indiens. Cf. plus haut, mythe #3, "L'IA va rendre le monde meilleur"…
Suite à l'initiative "Élan pour la diversité" qu'ils ont coorganisée, Usbek&Rica publie un compte-rendu du débat
"Faut-il autoriser les quotas au nom de la diversité en entreprise ?". Soit dit en passant, j'ai pu assister à cette journée, et c'était véritablement intéressant. S'ils remettent ça l'an prochain, je vous le recommande.
Santé
Il fallait s'y attendre : si le développement des IA génère de la pollution, arrive forcément un moment où des répercussions se manifestent sur la santé publique. Or,
une étude récente a mesuré cet impact : l'IA a généré 5,4 milliards de dollars en dépenses de santé publique sur les cinq dernière années, en participant à la prolifération des cas d’asthme, de cancers et de maladies cardiovasculaires.
Autre genre de répercussion sur la santé : la possibilité d'utiliser
l'IA agentique comme aide à la décision morale en médecine, comme de décider à quel patient donner un rein par exemple. La question a seulement été étudiée, et la réponse de l'étude est négative, mais le simple fait qu'on doive sérieusement se poser la question est mauvais signe.
Avec le développement des "compagnons IA", une experte en santé mentale s'inquiète
des répercussions d'une recherche de liens social trop centrée sur l'IA.
Gestion des ressources
EDF propose trois sites aux industriels de l'infrastucture,
pour y créer des data centers. L'un est situé en Seine-et-Marne, et les deux autres en Moselle.
Une charte lancée par le gouvernement et la fédération du e-commerce vise à
réduire l'impact environnemental du e-commerce. Comprenant 11 engagements sur les entrepôts, les livraisons, les emballages et les retours, elle a été signée par 33 entreprises, comme Amazon, Carrefour ou Leclerc.
Extractivisme :
focus sur la République du Congo, où sont extraits les minerais de cobalt, le tantale et le tungstène nécessaires à notre hardware.
Et c'est sur cette note un peu dure que se finit l'APT Update de cette semaine.
Merci de m'avoir lue et à la semaine prochaine pour parler failles de sécurité !
