🤖 ChatGPT est-il sécurisé ?

Salut Shaker 👋

C’est samedi, voici le Shake. Pour toi, voici ce qu’on a retenu du digital et de la cyber cette semaine. À la une : 🛡 La sécurité de ChatGPT questionne.

On te décode l’actu :

🚗 Les Français de Synaktiv hackent une Tesla Model 3,

🇦🇺 14 millions de documents personnels dérobés lors d'une cyberattaque contre une banque,

📝 L’administration Biden signe un décret qui restreint les spywares,

🇰🇵 Le groupe nord-coréen APT43 utilise la cybercriminalité pour financer ses opérations d'espionnage,

🔑 Github (Microsoft) publie par erreur sa clé hôte RSA SSH,

On t’explique tout ça plus bas.

Retrouve le mag :

🦾 Microsoft lance Security Copilot, son assistant GPT-4 pour la cybersécurité,

💬 Le rapport d’Europol sur l'impact des grands modèles linguistiques d’IA sur la sécurité,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

🛡 La sécurité de ChatGPT en questions

ChatGPT connaît ses premières failles de sécurité

Le 22 mars, OpenAI, la société propriétaire de ChatGPT, a annoncé avoir résolu un bug majeur qui permettait à certains utilisateurs de visualiser les titres de conversations d'autres utilisateurs. L’outil conversationnel a été pour la première fois depuis sa sortie interrompu pendant plusieurs heures éviter que des individus mal intentionnés n’exploitent ce bug. Plusieurs utilisateurs ont partagé des captures d'écran montrant qu'ils avaient accès aux historiques de conversations, fort heureusement anonymisées, appartenant à d'autres utilisateurs. La défaillance a été causée par un bug dans la bibliothèque open source “Redis”, qui a rapidement été corrigé. Le PDG d'OpenAI, Sam Altman, a indiqué dans un tweet que seuls quelques utilisateurs avaient pu voir les titres de conversations d’autres utilisateurs et qu’un correctif avait été publié.

La joie fut de courte durée, lorsque quelques heures seulement après la réouverture de la plateforme, des utilisateurs souhaitant s’abonner à ChatGPT Plus, ont rapporté avoir eu accès à des données personnelles qui n’étaient pas les leurs sur l’interface de paiement. Les données personnelles divulguées incluaient les prénoms et noms des utilisateurs, leurs adresses e-mail et de paiement, ainsi que les quatre derniers chiffres de leur numéro de carte de crédit et leur date d'expiration. Selon OpenAI, le premier bug dans la bibliothèque open source a conduit à ce second problème qui a exposé les informations de paiement pour 1,2 % des abonnés ChatGPT Plus.

Ces incidents vient soulever quelques inquiétudes concernant la confidentialité des informations partagées sur la plateforme aujourd’hui utilisée par plus de 100 millions d’utilisateurs actifs mensuels. OpenAI a toutefois tenu à rappeler dans sa FAQ que les données des utilisateurs (les historiques de conversation) pouvaient être utilisées pour améliorer l'intelligence artificielle de ChatGPT, et qu’il convenait donc de ne jamais partager d'informations sensible sur la plateforme.

Les plugins débarquent dans ChatGPT

ChatGPT évolue vite, très vite, trop vite ? Quelques jours seulement après la sortie de GPT-4, OpenAI a annoncé le support des plugins pour chatGPT, ces extensions qui enrichissent votre navigateur web en proposant des fonctionnalités supplémentaires, similaires à celles que l'on peut trouver sur Google Chrome.

Derrière cette annonce en apparence “mineure”, l’évolution que cela apporte au robot conversationnel est en réalité considérable. En effet, jusqu’à présent ChatGPT avait été entrainé sur une base d’informations n’allant pas au delà de 2021 et n’était donc pas capable d’interagir avec des faits d’actualités. Avec l’arrivée des plugins et l’accès à des données actualisées issues du web, les performances de ChatGPT s’en trouvent décuplées.

OpenAI n’avait pas d’autre choix que de prendre les devants à ce sujet. D’une part, pour répondre aux limitations de l’outil et d’autres part, parce que ces dernières semaines ont été particulièrement marquées par une avalanche de fraudes permises par la prolifération de faux plugins ChatGPT.

12 plugins officiels dont Expedia, Instacart, Kayak, Shopify, Slack, Zapier sont actuellement testés auprès de développeurs et abonnés à ChatGPT Plus et plus de 80 plugins seraient en développement selon le hacker “rez0” qui affirme avoir hacké l’API de ChatGPT.

La récente fuite de données de ChatGPT et l'introduction des plugins connectés à internet soulèvent des questions quant à savoir si les géants de la technologie ne sont pas en train de confondre vitesse et précipitation dans cette course à l’IA.

Des centaines d'experts, dont Elon Musk, tirent la sonnette d'alarme sur les “risques majeurs pour l’humanité”

C’en est trop ! Elon Musk et des centaines d'experts demandent un moratoire de six mois sur la recherche d'IA plus avancée que ChatGPT 4. Dans une pétition publiée sur Futureoflife.org, ils soulignent les “risques majeurs pour l'humanité” et appellent à la mise en place de systèmes de sécurité, de nouvelles autorités réglementaires et d'institutions capables de gérer les perturbations économiques et politiques que l'IA provoquera. Les signataires comprennent des personnalités comme Elon Musk - qui avait pourtant largement financé la fondation OpenAI, à l’origine du projet de ChatGPT - et l’historien et professeur d'histoire Yuval Noah Harari. Ils s'inquiètent notamment de la course à l'IA incontrôlable et des conséquences potentiellement désastreuses pour l'humanité. Le PDG d’Open AI et concepteur de ChatGPT lui même, avait déclaré être “un petit peu effrayé” par sa création si elle était utilisée pour de “la désinformation à grande échelle ou des cyberattaques”.

🦾 Security Copilot : l’assistant GPT-4 de Microsoft pour la cybersécurité

Après Github Copilot, destiné aux développeurs, c’est au tour des équipes de sécurité d’être mises à l’honneur (ou challengées). Microsoft Security Copilot est un nouvel outil basé sur l’IA de nouvelle génération GPT-4. Cette solution est voulue pour permettre aux “défenseurs de détecter et de réagir rapidement aux menaces, ainsi que de mieux comprendre l'environnement global des menaces”. Microsoft souhaite ainsi fournir aux experts cyber “une assistance IA facile à utiliser pour améliorer la productivité et la sécurité de leur organisation”.

〰️ Vos shots 〰️

🚗 Les Français de Synaktiv hackent une Tesla Model 3

Chaque année, durant la conférence dédiée à la cybersécurité “CanSecWest” à Vancouver, un concours de sécurité informatique baptisé “Pwn2Own”, destiné aux pirates “White Hat”, est organisé dans le but de mettre en évidence des failles de sécurité contre de grosses sommes d’argent. Pour cette édition, macOS, Safari, Microsoft, Adobe et Tesla faisaient partie, entre autres, des cibles proposées. Cette année, une équipe d’analystes en sécurité offensive du spécialiste français Synaktiv s’est particulièrement illustré en réussissant l’exploit de prendre le contrôle total de la célèbre Tesla Model 3, dont le constructeur est également un sponsor de l’évènement. Pour ce faire, les pirates ont utilisé la connexion Bluetooth du système d’infodivertissement comme porte d’entrée. Ils ont ensuite poursuivi leur chemin dans le système d’exploitation pour récupérer les droits d’administration leur permettant en théorie de démarrer et de voler le véhicule. En récompense, les pirates ont pu repartir avec la voiture et un beau chèque de 350 000 dollars. Cocorico ! 🐔 Ce n’est pas la première fois que des analystes en sécurité informatique parviennent à hacker une Tesla Model 3. Ce fut déjà le cas lors de l’édition 2019 de ce même concours. Quoi qu’il en soit, cette découverte va être extrêmement utile pour Tesla qui va pouvoir mettre en place les mesures nécessaires pour limiter l’exploitation des failles identifiées durant cet évènement.

🇦🇺 14 millions de documents personnels dérobés lors d'une cyberattaque contre une banque en Australie

Latitude Group Holdings Ltd, une entreprise de crédit à la consommation australienne, a révélé lundi que des pirates informatiques avaient volé 14 millions de documents personnels appartenant à ses clients. Les attaquants se sont emparés de bien plus de données que les 113 000 licences volées révélées le 16 mars par l’entreprise. Parmi les données dérobées, l’on retrouve près de 7,9 millions de numéros de permis de conduire, ainsi que plus de 53 000 numéros de passeport et plus de 6 millions de dossiers de clients. Suite à cette attaque, les opérations du groupe ont été temporairement gelées et l’incident fait actuellement l'objet d'une enquête de la police fédérale australienne. Cette affaire concerne plus d’un Australien sur 5 dans ce pays qui compte 26 millions d’habitants. Elle rejoint les lus importantes violations de données de l’histoire du pays, aux côtés de l’opérateur de télécommunication Optus et l’assureur Medibank Private Ltd, tous deux victimes en fin d’année dernière, d’attaques ayant entrainé le vol de plusieurs millions de comptes clients.

📝 Pegasus Biden signe un décret limitant le marché des spywares

Ce lundi 27 mars, l'administration Biden a pris une mesure décisive pour protéger la sécurité nationale des États-Unis en publiant un décret exécutif interdisant aux agences fédérales d'utiliser des logiciels espions (spywares) présentant des risques élevés en matière de sécurité et de contre-espionnage. Cette mesure a été prise en réponse à la prolifération de logiciels espions invasifs, souvent utilisés pour collecter des données à partir de téléphones portables. Plus de 50 fonctionnaires gouvernementaux américains auraient été ciblés par ces logiciels selon des sources proches du dossier. Ces logiciels conçus par de multiples entreprises, dont de nombreuses israéliennes, ont été et sont utilisés par plusieurs gouvernements étrangers pour espionner des opposants politiques, des défenseurs des droits de l'homme et des journalistes, comme ce fut notamment le cas avec le logiciel espion Pegasus du groupe israélien NSO. En interdisant l'utilisation de ces logiciels par les agences fédérales américaines, l'administration Biden envoie un message fort aux fabricants de logiciels espions et aux gouvernements qui les utilisent pour violer les droits de l'homme et réprimer l’opposition politique. Ce décret constituera probablement un fondement essentiel pour renforcer la coopération internationale, dans le but de favoriser l'utilisation responsable des technologies de surveillance.

🔑 Quand Github publie sa clé SSH principale

Même les meilleurs de la tech font des erreurs. Par mesure de précaution, GitHub.com, filiale de Microsoft, a remplacé le 24 mars sa clé hôte RSA SSH utilisée pour sécuriser les opérations Git. Ceci a été fait pour protéger les utilisateurs d’éventuelles tentatives d'usurpation de l'identité de GitHub ou d'écoute de leurs opérations Git via SSH. Cependant, il est important de noter que ce changement n'affecte que les opérations Git via SSH utilisant RSA et n'a aucun impact sur le trafic web ou les opérations Git HTTPS. De plus aucune information client n’a été compromise. Que s’est t-il passé ? D’après GitHub, la clé RSA de GitHub.com aurait été brièvement exposée dans un dépôt public de GitHub cette semaine. Pour l’heure, aucune preuve n’indique que la clé exposée soit arrivée entre les mains de personnes mal intentionnées ou qu’elle ait été utilisée de manière abusive. GitHub précise que seules les clés RSA SSH ont été affectées et qu'aucun changement n'est nécessaire pour les utilisateurs d'ECDSA ou d'Ed25519. Cependant, si vous voyez le message d’alerte “Warning: remote host identification has changed”, Github indique dans son article la procédure à suivre pour supprimer l’ancienne clé et l’actualiser.

🪺 Aussi dans l’actu : une partie du code source de Twitter a été partagé sur GitHub avant d’être retirée. Le mal est fait… La piste d’un ex-employé licencié par Elon Musk est privilégiée.

🇰🇵 Comment le groupe nord-coréen APT43 blanchit les cryptomonnaies volées

Après de nombreuses année de surveillance, l’entreprise américaine de cybersécurité et filiale de Google, Mandiant, a publié ce mardi 18 mars un rapport qui nous permet d’en apprendre davantage sur le groupe de cybercriminels nord-coréen. APT43 est un groupe de pirates actifs qui oeuvre pour le compte du régime nord-coréen en utilisant des capacités techniques relativement avancées ainsi que des tactiques agressives d'ingénierie sociale pour cibler entre autres, des organisations gouvernementales, des universités, des organismes de recherche et des instituts politique. Ses cibles se concentrent principalement en Corée du Sud, aux États-Unis, au Japon et en Europe. Dans ce rapport, on apprend également que le groupe finance sa “mission principale de collecte de renseignements stratégiques” grâce à des activités de cybercriminalité. Pour ce faire, APT43 utilise de nombreuses identités frauduleuses et usurpées pour mener des campagnes d'ingénierie sociale, ainsi que des identités de couverture pour acquérir des outils et des infrastructures opérationnels. Enfin, le groupe a été impliqué dans plusieurs opérations conjointes avec d'autres opérateurs d'espionnage nord-coréens, soulignant ainsi son rôle important au sein du régime de Kim Jung-Un.

〰️ Dégustation 〰️

💬 L'impact des grands modèles linguistiques sur la sécurité publique

En réponse à l'intérêt grandissant du public envers ChatGPT, le laboratoire d'innovation d'Europol a organisé des ateliers avec des experts en analyse opérationnelle, grande criminalité, criminalité organisée, cybercriminalité, et en technologies de l'information afin d'étudier comment les criminels pourraient exploiter les grands modèles linguistiques comme ChatGPT, ainsi que leur potentiel pour aider les enquêteurs dans leur travail quotidien. Un rapport présente les résultats.

Parmi les nombreux sujets de préoccupation identifiés par les experts d'Europol, 3 domaines de criminalités sortent du lot et inquiètent les experts :

1. Les capacités de ChatGPT en matière de fraude et d'ingénierie sociale en font un outil attrayant pour les escrocs. Grâce à sa capacité à reproduire des modèles de langage humain élaborés, il peut imiter le style de discours d'individus ou de groupes spécifiques, ce qui peut tromper les victimes potentielles et les inciter à faire confiance à des acteurs criminels.

2. La production rapide de textes authentiques à grande échelle fait de ChatGPT un outil de choix pour la propagande et la désinformation, facilitant la génération et la diffusion de messages reflétant un récit spécifique avec relativement peu d'efforts.

3. ChatGPT peut également être utilisé pour produire du code malveillant, ce qui en fait une ressource inestimable pour les criminels ayant peu de connaissances techniques.

Pour Europol, il est donc essentiel que les autorités restent à la pointe des avancées technologiques pour anticiper et prévenir les abus, en particulier à mesure que de nouveaux modèles deviennent disponibles.

〰️ Cul sec - La question 〰️

🚩 Que signifie le sigle LLM ?

A. Logic Learning Machine

B. Logement à Loyer Modique

D. Large Language Model

C. Legum Magister

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

📝 Tribune - “L'ère de l'IA a commencé”. Dans une lettre de sept pages, Bill Gates partage ses prédictions sur l'avenir de la technologie. Dans le même temps, Elon Musk s’en est une nouvelle fois pris à Bill Gates dans un tweet en affirmant que sa compréhension de l’IA était “limitée”. Lui qui avait financé le projet initial de la Fondation OpenAI, peut-être a t-il du mal à digérer le pari réussi de Microsoft avec Open AI.

🔄 Mises à jour - Lundi dernier, Apple à publié une nouvelle vague de mises à jour de sécurité pour ses logiciels. iOS, macOS, watchOS, plusieurs produits sont concernés. Les mises à jours sont consultables ici.

🍏 Évènement - Les dates de la Worldwide Developers Conference 2023 d'Apple ont été annoncées officiellement. L'événement se tiendra au campus Apple et en ligne du 5 au 9 juin prochain.

〰️ Cul sec - Réponse 〰️

Réponses

Toutes les réponses sont bonnes, mais une seule fait du sens dans le domaine récent de l’intelligence artificielle.

A. Logic Learning Machine : c’est une implémentation d’un algorithme d’intelligence artificielle qui permet de générer des règles (hypothèses), intelligibles par des humains.

B. Logement à Loyer Modique : au Québec, cela signifie HLM habitat à loyer modéré

D. Large Language Model : c’est un ensemble de données statistiques qui permet, suite à une étape d’apprentissage à partir d’une grande quantité de textes et à partir de réseaux neuronaux multicouches de générer des textes à partir d’une demande en langage naturel (« prompt ») ou d’un texte de départ. Cette technologie, qui est difficilement vérifiable par un humain (on dit qu’elle est « black box »), sous-tends ChatGPT.

C. Legum Magister : LL.M est une abréviation du Latin Legum Magister. C’est un diplôme de droit particulièrement destiné aux étudiants étrangers.

〰️ Digestif 〰️

👋 Hé, l’IA apprend vite !

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it“