🍏 Apple réinvente l’IA et promet la confidentialité des données

Salut 👋, j'espère que ta semaine se passe bien ! Prépare-toi à savourer THE cocktail d'actus cyber et digitales, ça va pulser !

Au programme :

La Suggestion du Barman : 🍏 Apple réinvente l’IA et promet la confidentialité des données,
En Image : ☁️ Private Cloud Compute : “l'architecture de sécurité la plus avancée jamais déployée pour le calcul en cloud de l'IA”,
Vos shots :
❄️ L’ampleur de la violation de données Snowflake se précise,
🅾️ Le NHS lance un appel urgent pour des dons de sang après une attaque de rançongiciel,
📰 270 Go de données internes du New York Times divulguées,
En vidéo : 🎙 Entretien avec Raphaël Millet, Directeurs des Opérations de Mithril Security,
Pétillant : 📈 Les craintes en matière de cybersécurité en hausse parmi les travailleurs américains,
Digestif : 🫵 Elon Musk se moque d’Apple Intelligence,

🍏 Apple réinvente l’IA et promet la sécurité des données

Après Google, Meta et Microsoft, c’est au tour d’Apple d’entrer dans la danse de l’IA générative. Ce lundi 10 juin, a eu lieu l’édition 2024 de sa keynote annuelle dédiée aux développeurs (WWDC). La firme de Cupertino a annoncé l’arrivée d’Apple Intelligence, une IA générative on-device (directement sur ses appareils) et cloud, sur l’ensemble de son écosystème (iPhone, iPad, Mac, etc.).

Apple intègre des fonctionnalités IA dans son écosystème

Pour la première fois, le de la tech va intégrer des fonctionnalités d’IA générative dans son environnement. Ce tournant majeur vise à combler des mois de retard dans ce domaine sur les autres géants OpenAI, Microsoft, Google ou Meta.

Avec plus de 2 milliards d’appareils en service et des millions d’applications de développeurs tiers, Apple compte s’appuyer sur son environnement matériel et logiciel pour proposer une “approche unique” baptisée “Apple Intelligence”. Celle-ci “combine l’IA générative avec le contexte personnel de l’utilisateur pour proposer une intelligence véritablement utile”, a assuré le patron du groupe, Tim Cook.

Ce système d'intelligence au service de l’utilisateur apportera des modèles génératifs puissants à l'iPhone, à l'iPad et au Mac avec un traitement en local, c’est à dire sur l’appareil lui-même. Aussi, pour les “fonctionnalités avancées nécessitant de raisonner sur des données complexes avec des modèles de fondation plus grands”, Apple a créé Private Cloud Compute (PCC), “un système d'intelligence cloud révolutionnaire conçu spécifiquement pour le traitement de l'IA privée”.

Apple s’allie à Open AI

Apple a également annoncé un vaste partenariat avec OpenAI, le créateur de ChatGPT. Concrètement, GPT-4o, la dernière version du modèle, va être intégrée à Siri et lui offrir cette seconde jeunesse tant attendue.

Ainsi, lorsque vous poserez une question à Siri, celui-ci vous demandera la permission d’interroger ChatGPT pour vous fournir une réponse plus précise et détaillée qu’il n’est capable de le faire actuellement.

Mais ce n’est pas tout. ChatGPT sera également intégré aux logiciels et applications qui traitent des textes. Vous pourrez par exemple l’utiliser pour résumer des e-mails, poser des questions sur des documents, ou rédiger du texte dans n’importe quelle application. Il ne sera pas nécessaire d’avoir un compte OpenAI pour en profiter et les données ne seront pas stockées sur les serveurs d’Open AI.

La plupart des nouveautés citées ci-dessus seront disponibles cet automne, d’abord en anglais et aux États-Unis, et limitées aux iPhone 15 Pro et Pro Max, ainsi qu’aux iPad et Mac équipés d’une puce M1 ou ultérieure. Il faudra attendre 2025 pour l’utiliser en France.

Confidentialité et protection des données : une priorité

La majorité des modèles de langage actuels fonctionnent sur des serveurs distants, ce qui suscite des réticences chez les utilisateurs quant à la confidentialité de leurs données personnelles. Pour y remédier, Craig Federighi, Senior VP de l'ingénierie logicielle chez Apple, a souligné que les nouveaux modèles d'IA d'Apple pourront fonctionner directement sur les appareils équipés de puces A17+ ou M-series. Ainsi, le risque de transmettre des données personnelles à des serveurs distants serait éliminé.

Federighi a précisé que lorsque des modèles d'IA plus puissants nécessiteront des ressources cloud, ceux-ci seront exécutés sur des serveurs spécialement conçus avec des puces Apple. Ces serveurs utilisent des fonctions de sécurité intégrées directement au langage de programmation Swift. "Le système Apple Intelligence envoie uniquement les données nécessaires à l'accomplissement de votre tâche", a-t-il déclaré, évitant ainsi un accès complet aux informations contextuelles de l'appareil.

Apple affirme que les données seront exclusivement utilisées pour répondre à la requête de l'utilisateur et ne seront pas conservées pour un accès futur ni utilisées pour entraîner les modèles basés sur ses serveurs. “Vos données ne sont jamais stockées ni accessibles par Apple”, a réitéré Federighi.

De plus, pour renforcer cette promesse, le code des serveurs utilisés par Private Cloud Compute sera accessible publiquement et le système sera cryptographiquement configuré pour que les appareils Apple refusent de communiquer avec un serveur dont le logiciel n'a pas été enregistré publiquement pour inspection. Avec ces annonces, Apple frappe donc fort en matière d’IA confidentielle.

Elon Musk accuse l’IA de l'iPhone d'être un logiciel espion

Malgré l’accent mis sur la protection et la sécurité des données liées à l’utilisation de l’IA au sein des appareils Apple, il y en a un qui ne voit pas cette alliance d’un très bon œil.

Dans une série de tweets critiques, Elon Musk s’est insurgé contre l'intégration d'OpenAI au système d'exploitation d'Apple qui représente selon lui une “violation inacceptable de sécurité” pour les utilisateurs d’iPhone et de Mac.

“Apple n’a aucune idée de ce qui se passera une fois qu’il confiera vos données à OpenAI. Ils vous poignardent dans le dos”, a assuré le milliardaire sur le réseau social X.

Elon Musk va même plus loin en avertissant Tim Cook de bannir tous les appareils Apple de ses entreprises si celui-ci n’arrête pas “ce logiciel espion effrayant”.

Des déclarations pas si étonnantes pour le fondateur de “xAI” qui veut concurrencer les modèles d’OpenAI…

☁️ Private Cloud Compute : “l'architecture de sécurité la plus avancée jamais déployée pour le calcul en cloud de l'IA”

Cette nouvelle architecture de sécurité conçue par Apple, vise à combler les lacunes du modèle de sécurité des services cloud traditionnels qui manque généralement de transparence, qui ne permet pas de voir en temps réel ce qu’il se passe avec nos données, et qui ne permet pas de protéger nos données de menaces internes (administrateurs, développeurs, etc.)

❄️ L’ampleur de la violation de données Snowflake se précise

Snowflake héberge des masses de données pour de nombreuses entreprises. Selon elle, “L'ensemble des clients de Snowflake représente plus de 5 milliards de requêtes de données sur le Data Cloud, avec plus de 515 millions de charges de travail de données chaque jour.” Parmi ses clients, des leaders de nombreux secteurs tels que Pfizer, MasterCard, Electronic Arts.

Le problème ? des pirates ont accédé aux comptes de ses clients en utilisant des informations d'identification volées.

Une enquête de Mandiant publiée ce lundi sur les récentes compromissions de comptes chez Snowflake a révélé que l'absence d'authentification multifactorielle (MFA) et de contrôle d'accès approprié par les clients est à l'origine des incidents. L'acteur malveillant UNC5537 a accédé à 165 comptes clients en utilisant des identifiants volés, puis a tenté d'extorquer les victimes ou de vendre les données sur des forums de cybercriminalité. Parmi ces victimes, des entreprises telles que Ticketmaster et Santander Bank ont été identifiées.

Mandiant a donc confirmé que ces accès non autorisés provenaient de compromissions d'identifiants des clients de Snowflake et non d'une faille dans la sécurité de Snowflake. Ces identifiants, parfois inchangés depuis des années, ont été obtenus via des chevaux de Troie et vendus sur le Dark Web.

Ces dernières années, les experts en sécurité ont intensifié leurs appels pour que les organisations adoptent l'authentification multifactorielle. "Mandiant évalue que la MFA aurait empêché la compromission des comptes Snowflake dans cette campagne," a déclaré Austin Larsen, analyste principal des menaces chez Mandiant.

La réponse de Snowflake ? “Envisager” de rendre obligatoire cette “double authentification”, et ainsi de rejoindre d’autres produits qui ont fait ce choix depuis plusieurs années, tels que Google Workspace et gmail, GitHub, etc.

🅾️ Royaume-Uni : le NHS lance un appel urgent pour des dons de sang après une attaque de rançongiciel

Le NHS a lancé un appel urgent pour des dons de sang de type O après qu’une attaque de rançongiciel ait affecté la capacité des hôpitaux à faire correspondre le sang des patients. Cette attaque a touché le fournisseur de services médicaux Synnoviv et a entraîné l'annulation de plusieurs opérations et transfusions dans les hôpitaux londoniens.

Selon Ciaran Martin, ancien chef du National Cyber Security Centre (NCSC), Le gang de rançongiciel russe Qilin est à l'origine de l'attaque. Actif depuis octobre 2022, ce groupe, dont les attaques ont tendance à être plus opportunistes que ciblées, n'a cessé d'accroître son activité en 2024, revendiquant la responsabilité de plus de 50 piratages au cours des 4 derniers mois. Au total, 112 organisations victimes sont revendiquées leur site, selon un porte-parole de Secureworks.

Pour faire face à la cyberattaque et gérer la forte demande de sang, NHS Blood and Transplant a demandé aux donneurs O+ et O- de prendre rendez-vous dans l'un des 25 centres en Angleterre. Le sang O, connu comme le type de sang universel, est généralement utilisé lorsque le groupe sanguin du patient est inconnu ou en cas d'urgence, comme c’est le cas actuellement.

Le professeur Stephen Powis, directeur médical du NHS England, a déclaré que le personnel faisait "tout son possible pour minimiser les perturbations". Cet incident illustre une nouvelle fois les conséquences inattendues et graves que peuvent entraîner les attaques de rançongiciels sur les systèmes de santé.

📰 270 Go de données internes du New York Times divulguées

Un utilisateur du forum 4chan a divulgué 270 Go de données internes du New York Times. L'incident a permis aux pirates d’accéder à 5 000 dépôts GitHub majoritairement non chiffrés, contenant un total de 3,6 millions de fichiers, dont des bases de données d'utilisateurs, des communications internes sur Slack, des informations d'authentification et pratiquement tout le code source appartenant à la New York Times Company.

Le New York Times a confirmé l'incident et a indiqué que celui-ci s’était produit en janvier 2024, lorsque des identifiants d’une plateforme de code tierce ont été accidentellement exposés. Selon l’entreprise, "le problème a été rapidement identifié, et nous avons pris les mesures appropriées en réponse à l'époque.”

Cependant, pour plusieurs experts, les conséquences de cette violation pourraient être plus importantes qu’il n’y paraît.

L’exposition du code source a, de fait, permis à des acteurs malveillants d’identifier des vulnérabilités exploitables dans des cyberattaques. Thomas Richards, de l’entreprise Synopsys, recommande donc au NYTimes de vérifier minutieusement son code source pour détecter toute modification non autorisée. Pour KnowBe4, leader américain de la sensibilisation cybersécurité, le faible chiffrement des dépôts révèle des faiblesses dans la protection des données sensibles.

Au final, cet incident pose un problème sérieux à ce média de premier plan qui mène aussi des investigations et qui a, parmi ses lecteurs, des cibles d’intérêt pour des états non démocratiques.

🎙 Entretien avec Raphaël Millet, Directeurs des Opérations de Mithril Security

Shakerz te fais rencontrer des experts de la cybersécurité, de l’IA et du numérique. Pour mieux comprendre.

Voici Raphaël Millet, Directeurs des Opérations de Mithril Security. À l’occasion du Forum InCyber Europe à Lille, il nous parle d’IA de confiance, un sujet on ne peut plus d’actualité, avec l’arrivée d’Apple Intelligence.

📈 Les craintes en matière de cybersécurité en hausse parmi les travailleurs américains

Le rapport 2024 de EY sur le risque humain en cybersécurité révèle une inquiétude croissante parmi les employés américains face aux menaces cyber, exacerbées par l'usage de l'IA. Il met en lumière une disparité des générations dans la préparation à la cybersécurité. Les générations Z et Milléniaux se sentent moins équipées pour identifier et répondre aux menaces par rapport à leurs collègues plus âgés.

À retenir :

• Les employés sont de plus en plus conscients et anxieux des menaces cyber potentielles pesant sur leur environnement de travail.

  • 53 % des employés craignent que leur organisation soit la cible d'une cyberattaque.

  • 34 % craignent d'être à l'origine de la vulnérabilité de leur organisation.

  • 64 % des membres de la génération Z et 58 % des milléniaux craignent de perdre leur emploi s'ils laissent leur entreprise vulnérable à une attaque.

• Près de 80 % des personnes interrogées sont préoccupées par l'utilisation de l'IA pour mener des cyberattaques, et 39 % ne sont pas convaincues de savoir comment utiliser l'IA de manière responsable.

• Plus de 90 % affirment que les organisations devraient régulièrement mettre à jour leurs formations pour suivre l'évolution du rôle de l'IA dans les cybermenaces, mais seulement 62 % déclarent que leurs employeurs ont donné la priorité à la formation sur l'utilisation responsable de l'IA.

🫵 Elon Musk se moque d’Apple Intelligence

On termine ce Shake avec la pilule qui a du mal à passer pour Musk.

Pour diffuser la culture cyber et digitale, partage ce Shake autour de toi 👐

À samedi pour la Carte Cyber ! ✌️