📌 Elon Musk épinglé par l’UE pour la désinformation sur X

Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

📌 Elon Musk épinglé par l’UE pour la désinformation sur X,

Décode l’actu :

🎮 Sony prétendument touché par un rançongiciel,

🎓 4 mois après, la vulnérabilité MOVEit continue de faire des ravages,

👮 Les agents du FBI ont recours à la reconnaissance faciale sans formation,

🇷🇺 Un média russe en Lettonie soupçonne l’Europe de l’espionner,

On t’explique tout ça plus bas.

Retrouve le mag :

🌏 Cybercriminalité forcée en Asie du sud-est : recommandations pour une réponse fondée sur les droits de l’homme,

📈 Le coût annuel moyen d'un risque de malveillance interne s'élève à 16,2 millions de dollars par organisation,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, devine quoi… la question de la semaine.

〰️ La reco du barman 〰️

📌 Elon Musk épinglé par l’UE pour la désinformation sur X

La vice-présidente de la Commission européenne, Věra Jourová, a déclaré mardi 26 septembre que la plateforme de médias sociaux X (anciennement Twitter) était la principale source de désinformation de toutes les plateformes de médias sociaux dans l’Union Européenne. Elle a également demandé à son propriétaire, Elon Musk, d'adhérer aux réglementations de l'Union européenne conçues pour lutter contre la désinformation.

Cet avertissement a été lancé après qu'un rapport, détaillant les efforts déployés par les grandes plateformes au cours du premier semestre 2023 pour se préparer à se conformer au Digital Services Act (DSA), a révélé pour la première fois l'ampleur de la désinformation sur les médias sociaux dans l'UE, dont X qui a le taux le plus élevé de messages de désinformation parmi les grandes plateformes de médias sociaux.

Bien qu’Elon Musk ait quitté le code de bonnes pratiques en matière de désinformation, la commissaire européenne Věra Jourová a tenu à lui souligner que cela ne dispensait pas sa plateforme X de se conformer aux obligations légales de la loi sur les services numériques (DSA) en vigueur depuis le 25 août 2023.

Qu’en est t-il des autres grandes plateformes de médias sociaux ?

Facebook est le deuxième plus mauvais élève. Néanmoins, contrairement à X, Facebook et d'autres géants de la technologie, dont Google, TikTok et Microsoft, ont signé le code de bonnes pratiques élaboré par l'UE pour s'assurer qu'ils soient prêts à temps pour opérer dans les limites de la nouvelle législation, et semblent agir dans ce sens.

Entres autres, Microsoft, propriétaire de LinkedIn, a empêché la création de 6,7 millions de faux comptes et a supprimé 24 000 contenus frauduleux de sa plateforme.

Google a déclaré avoir supprimé “400 chaînes Youtube impliquées dans des opérations d'influence coordonnées liées à l'Internet Research Agency”, une organisation russe de diffusion de propagande sur Internet. Google a également déclaré avoir supprimé la publicité provenant de près de 300 sites liés à des “sites de propagande financés par l'État” et a rejeté plus de 140 000 annonceurs politiques qui ont échoué aux processus de vérification d'identité.

Tiktok a supprimé près de 6 millions de faux comptes et 410 publicités à l'authenticité douteuse.

Et enfin, Meta a élargi son programme de vérification des informations en collaboration avec 26 partenaires qui opèrent dans 22 langues au sein de l'Union européenne, incluant dorénavant le tchèque et le slovaque.

Les opérations d’influence russe au coeur du viseur

Le rapport met également en évidence la prévalence de la propagande Russe sur les médias sociaux, ce qui préoccupe particulièrement l’UE à l'approche d'élections importantes en Slovaquie, en Pologne et celles du Parlement européen l'année prochaine.

La commissaire Jourová a fait remarquer que Google, TikTok, Microsoft et Meta devaient également intensifier leurs efforts pour lutter contre la désinformation, dont une grande partie provient de la Russie. Elle a souligné que la Russie utilisait les médias sociaux pour s'engager dans une “guerre des idées” contre la démocratie.

〰️ En image 〰️

🌏 Cybercriminalité forcée en Asie du sud-est : recommandations pour une réponse fondée sur les droits de l’homme

Le rapport souligne le besoin urgent d'une réponse coordonnée et fondée sur les droits de l'homme pour lutter contre les escroqueries en ligne et la traite des victimes à des fins de cybercriminalité forcée en Asie du Sud-Est. Il souligne l'importance de la coopération internationale, du soutien aux victimes, des réformes juridiques et des campagnes de sensibilisation du public pour lutter contre ces problèmes complexes et évolutifs tout en préservant les droits des personnes touchées par ces crimes.

〰️ Vos shots 〰️

🎮 Sony prétendument touché par un rançongiciel

D'après les chercheurs en sécurité informatique de Cyber Security Connect, un nouveau groupe de pirates baptisé Ransomed.vc, serait parvenu à compromettre “tous les systèmes de Sony” avec un rançongiciel et menace de publier les données si aucun acheteur ne se manifeste. Avec en prime, un signalement à l'agence de régulation de la protection des données.

Cependant, les analystes se veulent rassurants et indiquent que les preuves du piratage fournies par les attaquants sont pour le moment peu convaincantes (captures d’écrans, dont une page de connexion interne, ainsi qu'une présentation PowerPoint interne détaillant les éléments du banc de test).

De plus, Ransomed.vc a annoncé son intention de publier une arborescence de fichiers contenant plus de 6 000 documents récupérés lors de l'attaque. Un volume "apparemment faible” et en contradiction avec la prétention d'avoir compromis “tous les systèmes de Sony”.

🎓 4 mois après, la vulnérabilité MOVEit continue de faire des ravages

National Student Clearinghouse, une organisation non lucrative fournissant entre autres, des services d'inscription à de nombreuses universités américaines est la dernière victime en date de la vulnérabilité MOVEit.

Selon la déclaration de l’organisation, “une partie non autorisée a obtenu certains fichiers transférés par l'intermédiaire de l'environnement MOVEit […] y compris des fichiers contenant des données que nous conservons au nom de certains de nos clients.” Près de 900 écoles dont les données ont été identifiées comme étant affectées par ce problème, ont été notifiées.

Suite à cet évènement, John Bambenek, président de Bambenek Labs (USA) et membre du SANS, a mis en cause toutes les “organisations qui utilisent encore une version vulnérable de MOVEIt” alors que “la vulnérabilité (et le correctif) sont connus depuis quatre mois”. Il recommandent même à ces organisation de licencier leur RSSI car aucune excuse justifie de ne pas avoir remédié à la situation à ce jour.

👮 Les agents du FBI ont recours à la reconnaissance faciale sans formation

Au cours des dernières années, le FBI a massivement (des dizaines de milliers de recherches) utilisé la reconnaissance faciale grâce à des logiciels tiers, mais un rapport récent de l'organisme d'audit, d'évaluation et d'investigation du Congrès des États-Unis (GAO), a révélé que seulement 5 % des 200 agents ayant au accès à cette technologie ont bénéficié d'une formation de trois jours.

Cette situation soulève des inquiétudes car le FBI ne dispose pas de politique de protection de la vie privée, des droits civils ou des libertés civiles liée à cette technologie. Les préoccupations se sont intensifiées après plusieurs arrestations erronées liées à des mauvaises identifications par la reconnaissance faciale, notamment celle de Robert Williams en 2020 et le cas récent d'Alonzo Sawyer, emprisonné à tort pendant neuf jours.

L'absence de formation adéquate au sein du FBI, soulignée par le rapport du GAO, suscite des préoccupations quant aux impacts sur les droits individuels et ravive le débat sur l'utilisation de la reconnaissance faciale dans l'application de la loi.

Aussi dans l’actu : En France, l’utilisation de la reconnaissance faciale, et plus précisément de la vidéosurveillance algorithmique à l’approche des JO de Paris 2024 fait également débat. Le gouvernement qui avait indiqué que l’utilisation de cette technologie ne devait pas aller au delà des JO de Paris, est désormais moins catégorique à ce sujet.

🇷🇺 Un média russe en Lettonie soupçonne l’Europe de l’espionner

Un média russe en Lettonie soupçonne un État européen d'avoir piraté le téléphone de sa PDG, Galina Timchenko en février dernier, peu de temps avant qu'elle ne participe à une réunion de journalistes russes en exil.

Le média indépendant et interdit par le Kremlin, Meduza, a été la cible d'une cyberattaque au début de l'année en Allemagne, utilisant un logiciel espion de qualité militaire. Les fondateurs du média estiment qu'il est probable qu'un État membre de l'UE soit responsable de cette cyberattaque, soulevant des préoccupations sur l'utilisation d'outils de surveillance contre des journalistes.

Une enquête du Citizen Lab de l'université de Toronto et Access Now va dans ce sens et confirme que le téléphone de Timchenko avait été piraté par le logiciel espion Pegasus, fabriqué par le groupe israélien NSO. Ce cas suscite une nouvelle fois des inquiétudes concernant la surveillance gouvernementale sans contrôle approprié.

〰️ Dégustation 〰️

📈 Le coût annuel moyen d'un risque de malveillance interne s'élève à 16,2 millions de dollars par organisation

La semaine dernière, DTEX Systems, un leader mondial de la gestion du risque d'initié, a publié le rapport 2023 Cost of Insider Risks, réalisé de manière indépendante par Ponemon Institute. Le cabinet a interrogé 1 075 informaticiens et chargés de la cybersécurité de 309 organisations. Parmi celles qui ont connu un ou plusieurs incidents de malveillance interne au cours de l'année écoulée.

À retenir :

• Le coût moyen annuel d'un risque lié à un collaborateur malveillant par organisation s'élève à 16,2 millions de dollars, ce chiffre ayant augmenté de 40 % au cours des quatre dernières années.

• En moyenne, il faut 86 jours pour contenir ce type d’incident.

• Le coût augmente à mesure que la réponse à l'incident prend plus de temps, atteignant 18,3 millions de dollars à 91 jours.

• Seulement 8,2 % des budgets annuels de sécurité informatique sont consacrés à la gestion des risques liés aux acteurs de malveillance interne, et parmi ces 8,2 %, 91,2 % sont alloués aux activités post-incident.

Mais il y a aussi du positif :

• 77 % des entreprises ont déjà mis en place ou envisagent de mettre en place un programme de gestion des risques liés à la malveillance interne.

• 58 % estiment que le financement actuel pour la gestion de ces risques est insuffisant.

• 46 % prévoient d'augmenter le financement pour la gestion des risques liés aux actes de malveillance interne.

• 64 % considèrent que l'intelligence artificielle et l'apprentissage automatique sont essentiels ou très importants pour détecter de manière proactive les menaces internes.

〰️ À La carte 〰️

🍏 Apple - Si vous utilisez iOS 17 sur votre iPhone, vérifiez vos paramètres de confidentialité car ils pourraient avoir été modifiés sans que vous ayez donné votre autorisation. En effet, selon Mysk, un couple de développeurs iOS et de chercheurs en cybersécurité, la mise à jour vers iOS 17 réactiverait automatiquement certains paramètres tels que Significant Locations et iPhone Analytics.

📒 Livre - Dans son livre “Your Face Belongs to Us”, Kashmir Hill, journaliste spécialisé dans les technologies au New York Times. nous raconte l'histoire incroyable de Clearview AI et de sa stupéfiante collecte de milliards de visages sur l'internet.

🔄 Sécurité - La semaine dernière, Apple a publié plusieurs mises à jour de sécurité concernant son portefeuille de produits. Un pirate pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle de vos appareils. Dans une alerte de sécurité, la CISA encourage les utilisateurs et les administrateurs à appliquer les mises à jour nécessaires. (iOS 17.0.1 and iPadOS 17.0.1, iOS 16.7 and iPadOS 16.7, watchOS 10.0.1, watchOS 9.6.3, Safari 16.6.1, macOS Ventura 13.6, macOS Monterey 12.7).

💰 Hack - Le réseau décentralisé Mixin Network, dont le siège se trouve à Hong Kong, a annoncé ce lundi, avoir été victime le 23 septembre dernier, d’un piratage ayant entrainé le vol de 200 millions de dollars. L’un des plus gros hack de l’histoire des cryptomonnaies. Les fonctionnalités de dépôt et de retrait sont actuellement interrompues. D’après les premières informations, le point de défaillance semble provenir de l'hébergeur de sa base de données, Google Cloud.

🎬 Clap de fin - Google a annoncé aux utilisateurs de Gmail que la version HTML de base de la messagerie deviendra obsolète en janvier 2024. Pour continuer à utiliser le service, les utilisateurs devront donc se doter de navigateurs web modernes.

🎙 Podcast - Ce lundi 25 septembre, Spotify a annoncé se lancer dans la traduction vocale des podcasts en utilisant l'intelligence artificielle. Et l’entreprise a l’air plutôt sûr d’elle puisqu’elle parle d’une “fonctionnalité révolutionnaire alimentée par l’IA qui traduit les podcasts en langues supplémentaires, avec la voix du podcaster”.

🛒 Acquisition - Cisco, une entreprise américaine spécialisée dans le développement de solutions pour le réseau, le cloud et la cybersécurité, a annoncé déboursé 28 milliards de dollars pour acquérir Splunk, le leader de la cybersécurité et de l'observabilité.

💲 Investissement - Le Marymount Manhattan College, une université de New-York a été contrainte d'investir 3,5 millions de dollars dans la cybersécurité après une violation de données affectant 200 000 personnes

🔴 Livestream - Des escrocs sur Facebook ont récemment pris pour cible les championnats du monde de voile, en proposant de fausses retransmissions en direct gratuites pour inciter les utilisateurs à révéler leurs identifiants de compte. La National Cybersecurity Company (NCC) a publié une mise en garde contre ces escroqueries.

🗣 Évolution - OpenAI a publié une mise à jour de ses applications mobiles ChatGPT pour iOS et Android, permettant aux utilisateurs de formuler leurs requêtes et de recevoir des réponses sous forme audio. La mise à jour introduit également des fonctionnalités visuelles, permettant aux utilisateurs de télécharger ou de prendre des photos et de recevoir des descriptions et un contexte, à l'instar de la fonction Lens de Google. Ce nouveau développement souligne l'approche d'OpenAI consistant à traiter ses modèles d'IA comme des produits avec des mises à jour régulières, positionnant ChatGPT comme une application grand public rivalisant avec Siri et Alexa.

📱Vers l’iPhone de l’IA ? - OpenAI et le designer Jony Ive, à l’origine de l’iPhone, sont en discussions pour construire un nouveau téléphone, entièrement basé sur l’IA. Le conglomérat et investisseur japonais Softbank, qui possède également le géant des semi-conducteurs ARM, pourrait financer l’opération et apporter ARM.

🚨 Zero-day - Une importante vulnérabilité zero-day (CVE-2023-5217) a été découverte dans le navigateur Web Chrome. Google a publié en urgence un correctif dans la version 117.0.5937.132 de Chrome sur Windows, macOS et Linux. Comme l’indique Maddie Stone, une chercheuse en sécurité du “Google Threat Analysis Group”, sur X, la faille en question aurait été utilisée par un éditeur de logiciels de surveillance pour installer des outils de cyberespionnage. Il s’agit de la 5ème vulnérabilité zero-day de l’année pour Chrome.

〰️ Digestif 〰️

🌀 Fan d’énigmes et de Regex ? Ce jeu est fait pour vous !

Conçu par le développeur Neal Agarwal, The Password Game se moque de manière satirique des règles de sécurité des mots de passe. L'objectif du jeu est de créer un mot de passe qui soit accepté par un logiciel... qui ne cesse d'introduire des règles totalement farfelues.

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”