🤖 GPT-4 bouscule l’humanité

Salut Shaker 👋

C’est samedi, voici le Shake. Pour toi, voici ce qu’on a retenu du digital et de la cyber cette semaine. À la une : 🤖 GPT-4, “successeur” de ChatGPT est disponible et les résultats sont bluffants ! Assistant IA génial ou futur destructeur de l’humanité ?

On te décode l’actu :

👀 Quand ton interphone connecté t’espionne,

🛩️ USA : l’autorité de la sécurité des transports demande à rehausser de toute urgence la sécurité des transports aériens,

🩺 Une startup partage la santé mentale de 3 millions de personnes… avec les GAFAM,

🔔 La CISA notifie directement les propriétaires d’infrastructures vulnérables aux rançongiciels,

🎥 200 à 300 fois plus de vidéos Youtube propagent un malware voleur d’informations,

On t’explique tout ça plus bas.

Retrouve le mag :

⏳️ Une fraude au président exécutée en 2 heures à peine,

✌🏻️ La menace de compromission d’emails professionnels deux fois plus élevée que celle du phishing en général,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

🤖 GPT- 4 est disponible et les résultats sont bluffants !

Des performances de “niveaux humain” à des examens professionnels et académiques

OpenAI vient d’annoncer ce mardi 14 mars le lancement de GPT-4, le dernier modèle de sa série de modèles de traitement de langage naturel basée sur l'IA. Avec sa capacité améliorée de générer des textes d’environ 25 000 mots, GPT-4 est désormais capable de comprendre les instructions les plus complexes en langage naturel, de relier des concepts entre eux et de générer du contenu technique ou créatif avec une profondeur sans précédent.

Pour évaluer ses performances, les concepteurs de GPT-4 ont soumis ce nouveau modèle à une série de tests et examens professionnels et académiques couvrant des domaines tels que la biologie, le droit, l'économie, les mathématiques et la littérature dont voici les résultats :

Les résultats indiquent que la performance de GPT-4 est très supérieure à son prédécesseur, dans une majorité de tests, mais éprouve toujours des difficultés en mathématique et en code informatique avancé.

Cependant dans le domaine du droit, GPT-4 excelle et “réussit un examen du barreau simulé avec un score se situant dans la tranche supérieure de 10 % des candidats à l'examen", écrit OpenAI. En comparaison, le score de GPT-3.5 au même test de droit se se situait autour des 10 % les plus bas.

Autrement dit, si l'on évaluait les compétences de GPT-4 uniquement à travers des tests et examens, il pourrait être accepté dans une école de droit ainsi que dans de nombreuses universités.

Nouvelle capacité à traiter des images

ChatGPT-4 est désormais capable de traiter des entrées (prompt) textuelles accompagnées d’images. Il est capable de reconnaître un objet, d'en décrire l'utilité ou l'usage comme le démontre l’exemple suivant :

Utilisateur :

“Qu'y a-t-il de drôle dans cette image ? Décris-la panneau par panneau”

GPT-4 :

“L'image montre un emballage pour un adaptateur "Lightning Cable" avec trois panneaux.

Panneau 1 : un smartphone avec un connecteur VGA (un grand connecteur bleu à 15 broches généralement utilisé pour les écrans d'ordinateur) branché sur son port de charge.

Panneau 2 : l'emballage de l'adaptateur "Lightning Cable" sur lequel figure une photo d'un connecteur VGA.

Panneau 3 : Gros plan sur le connecteur VGA avec, à son extrémité, un petit connecteur Lightning (utilisé pour recharger les iPhones et autres appareils Apple).

L'humour de cette image vient de l'absurdité qu'il y a à brancher un gros connecteur VGA obsolète sur un connecteur Lightning”

Bluffant mais pas encore parfait

OpenAI a passé les six derniers mois à “rendre le GPT-4 plus sûr et mieux aligné”. D'après les évaluations internes, GPT-4 serait “82 % moins susceptible de répondre à des demandes de contenu non autorisé et 40 % plus susceptible de produire des réponses factuelles que GPT-3.5.”

Cependant, malgré des progrès considérables, GPT-4 n’est pas pour autant dépourvu de défauts. OpenAI reconnait que, malgré ses capacités, GPT-4 souffre de “limites similaires à celles des modèles GPT précédents […] il n'est toujours pas totalement fiable - il imagine des faits et fait des erreurs de raisonnement”. Il génère également “des conseils nuisibles, du code bogué, des informations inexactes […] et des contenus sexuels et violents sans y être explicitement invités” .

Comment essayer GPT4 ?

Pour le moment GPT4 est uniquement disponible aux utilisateurs possédant un compte professionnel ChatGPT plus à 20$ par mois. Attention toutefois, même en possession de ce compte, son utilisation reste actuellement limitée à 100 requêtes toutes les 4 heures.

GPT-4 va-t-il faire entrer l’humanité dans une nouvelle ère de l’intelligence artificielle ? Nous le saurons sans doute très rapidement.

Pour découvrir les applications de GPT-4, ce thread twitter en liste de nombreuses. Les conséquences de cette IA généralisée en terme de sécurité sont déjà nombreuses. A suivre…

⚡ Découvre une “fraude au président” éclair

Dans une enquête récente menée par Microsoft Security Intelligence, sur une attaque de compromission de messagerie d’entreprise (BEC), les experts ont découvert que les attaquants avait agit à une vitesse folle, accomplissant certaines étapes en seulement quelques minutes. Dans ce type d’attaque, les cibles n’ont que très peu de temps pour identifier les signes de fraude et cela souligne encore plus la nécessité de détecter et d'arrêter rapidement les actions malveillantes visant à compromettre les messageries professionnelles.

〰️ Vos shots 〰️

👀 Quand ton interphone connecté t’espionne

Le hasard fait parfois bien les choses. En emménageant dans leur nouveau bureau équipé de l'interphone vidéo intelligent E11 de la société chinoise Akuvox, l'équipe 82 de la société de sécurité Claroty a très rapidement pris conscience des faiblesses de l’appareil. Après analyse, les chercheurs ont ainsi pu découvrir plus d’une douzaine de vulnérabilités dont une critique permettant l'exécution de code à distance sans authentification (RCE). Cette dernière pourrait permettre à des pirates d'entrer dans le réseau d'une entreprise, de voler des photos ou des vidéos, de prendre le contrôle de la caméra et du microphone, voire même de verrouiller et déverrouiller les portes. Ce qui ferait particulièrement désordre pour une entreprise justement spécialisée en sécurité de l’operational technology et du SCADA, telle que Claroty.

Les entreprises équipées de ces dispositifs sont invitées à les déconnecter d’internet jusqu’à ce que les vulnérabilités soient corrigées et à s’assurer qu’ils n’enregistrent pas d’informations sensibles. L’interphone E11 d’Akuvox est le dernier en date d’une longue série d’appareils IoT dont la sécurité laisse à désirer. L’augmentation croissante du nombre d’appareils connectés créé une surface d’attaque considérable pour les attaquants sophistiqués. Et cela ne devrait pas aller en s’améliorant. Selon Juniper Research, le nombre total d’appareils IoT déployés devrait presque doubler d’ici 2025 pour atteindre 36,8 milliards d’appareils.

🛩️ USA : l’autorité de la sécurité des transports demande à rehausser de toute urgence la sécurité de l’industrie du transport aérien

Quelques jours seulement après l’annonce de la nouvelle stratégie nationale en matière de cybersécurité visant à renforcer la réglementation pour protéger les infrastructures essentielles des États-Unis, l’administration américaine de la sécurité des transports (TSA), a émis de nouvelles exigences concernant la cybersécurité dans le secteur de l'aviation. Les exploitants d'aéroports et d'aéronefs devront désormais élaborer un plan approuvé par la TSA pour prévenir les perturbations et les dégradations de leurs infrastructures et ainsi améliorer leurs défenses contre les pirates et cybercriminels. Les mesures à mettre en place comprennent notamment des politiques et des contrôles de segmentation du réseau, des mesures de contrôle d'accès, des politiques et procédures de surveillance, de détection continue et de mise en place de correctifs de sécurité. Ces exigences font suite à une “menaces persistantes de cybersécurité contre les infrastructures critiques américaines, y compris le secteur de l'aviation”. Des mesures similaires ont également été introduites pour les opérateurs ferroviaires en octobre 2022.

🩺 La santé mentale de 3 millions de personnes… partagée avec les GAFAM !

Mais bien sûr… La start-up de télésanté Cerebral a révélé avoir partagé les informations de santé privées de plus de 3,1 millions de patients aux États-Unis avec des annonceurs et des GAFAM, tels que Facebook, Google et TikTok. La société a admis avoir recueilli et partagé des informations telles que les noms, numéros de téléphone, adresses électroniques, adresses IP et données démographiques, ainsi que des évaluations de santé mentale, sans que les utilisateurs en soient informés. Les données ont été partagées en temps réel par le biais de traceurs et d'autres codes de collecte de données intégrés dans les applications de la start-up. Depuis, Cerebral a déclaré avoir supprimé de ses applications le code de tracking, mais les entreprises et annonceurs qui ont pu acquérir ces données partagées n'ont quant à elles, aucune obligation de les supprimer. Cette nouvelle fuite de données qui a lieu depuis 2019, survient quelques semaines seulement après que la Commission fédérale du commerce des États-Unis (FTC) a infligé une amende de 1,5 million de dollars à GoodRx et 8,5 millions de dollars à BetterHelp pour avoir mal traité les données de leurs utilisateurs.

🔔 La CISA notifie directement les propriétaires d’infrastructures vulnérables aux rançongiciels

Dans le cadre du nouveau programme pilote appelé Ransomware Vulnerability Warning Pilot (RVWP), qui a débuté le 30 janvier 2023, l’agence de cybersécurité américaine (CISA) vient d’annoncer le lancement d’un nouvel effort visant à aider les entités d'infrastructures critiques à protéger leurs systèmes d'information contre les attaques de ransomware. Ce nouveau programme consiste à identifier et avertir proactivement les entités d'infrastructures critiques que leurs systèmes présentent des vulnérabilités qui pourraient être exploitées par des acteurs malveillants de ransomware. Ce programme est une réponse à la menace croissante des rançongiciels, qui a commencé il y a près de deux ans après une série de cyberattaques visant des infrastructures critiques et des agences gouvernementales américaines, telles que les attaques de rançongiciels qui ont touché les réseaux de Colonial Pipeline, de JBS Foods et de Kaseya.

🎥 200 à 300 fois plus de vidéos Youtube propagent un malware voleur d’informations

Avec l’arrivée fracassante de l’Intelligence Artificielle ces derniers mois, la menace des voleurs d'informations (infostealer) a gagné en sophistication. Depuis novembre 2022, les chercheurs de CloudSEK ont constaté sur la plateforme Youtube, une augmentation de 200 à 300% de vidéos contenant dans leurs descriptions, des liens vers des logiciels malveillants tels que Vidar, RedLine et Raccoon. Généralement, ces vidéos prétendent être des tutoriels de téléchargement de versions craquées de logiciels payants très populaires appartenant à la suite Adobe ou encore, Autodesk 3ds Max et AutoCAD. Petite particularité, ces pirates qui avaient habituellement recours à des enregistrements d’écrans et à des explications audios pour réaliser leurs vidéos, font désormais de plus en plus appel à l’IA pour mettre en scène des personnages synthétiques qui inspirent davantage de confiance aux utilisateurs. Et ce n’est pas tout ! Les acteurs de la menace ajoutent également sous ces vidéos, un certain nombre de faux commentaires élogieux générés par IA incitant les utilisateurs à croire que le logiciel est légitime.

〰️ Dégustation 〰️

✌🏻️ La menace de compromission d’emails professionnels est deux fois plus élevée que celle du phishing en général

Un nouveau rapport d'IRONSCALES et d'Osterman Research sur la sécurité montre que la menace BEC (ou fraude au président) augmente d’année en année et devrait être deux fois plus élevée que celle de l'hameçonnage (phishing) en général.

Que retenir de ce rapport ?

• Plus de 10 000 personnes travaillant dans de grandes entreprises ont été interrogées dans le cadre de cette enquête.

• Au cours des 12 prochains mois, les grandes organisations craignent une augmentation de 43,3% de la menace BEC.

• Les employés et cadres du secteur financier sont les plus touchés.

• Les attaques BEC les plus fréquentes sont les fausses factures, le vol de données et la prise de contrôle de comptes.

• 1 entreprise sur 5 a subi une attaque BEC au cours des 12 derniers mois.

• Pour se protéger, les entreprises se reposent essentiellement sur les formations de sensibilisation à la sécurité, les passerelles de messagerie sécurisées et l'authentification multifactorielle. Des solutions qui présentent toutes d’importantes lacunes à prévenir une attaque BEC.

• Les outils anti-phishing alimentés par l’IA sont ce qu’il se fait de mieux à l’heure actuellement pour prévenir les attaques BEC. Cependant, seulement 55 % des organisations les utilisent actuellement.

• L’email n’est plus le seul canal d’attaque utilisé par les pirates pour entrer en contact avec les collaborateurs. Les entreprises, dont la protection repose exclusivement sur l’email courent un grand danger.

〰️ Cul sec - La question 〰️

🚩 Quels signes montrent que vous êtes tombé dans une arnaque ?

A. Des transactions inhabituelles sont visibles sur votre compte

B. L'article acheté n'est pas arrivé

C. Une connaissance romantique ne donne plus signe de vie

D. Vos comptes sont verrouillés

E. Impossibilité de retirer de l'argent d'un investissement en cryptomonnaies.

F. Votre maman vous demande de l’argent

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👨🏻 Portrait - Stéphane Lenco occupe le poste de CISO du groupe Thales depuis 2019. Titulaire d'un diplôme d'ingénieur de l'ENAC à Toulouse, avec des spécialisations en gestion du trafic aérien et en informatique, il était auparavant le RSSI du groupe Airbus jusqu'en 2018, où il a fondé le CERT d'Airbus. Également engagé à l’échelle européenne, il a été membre du "Permanent Stakeholder Group" de l'ENISA pour la période 2017-2020.

🗓️ Événement - Le média Acteurs publics et Advens organisent le vendredi 24 mars 2023 à 10h00, un atelier interactif en ligne destiné aux managers et décideurs publics. Dans un contexte où les services de l’État, les collectivités territoriales et les hôpitaux publics sont de plus en plus pris pour cible, l’objectif de cet événement est de donner les clés aux managers publics pour répondre à ces cyberattaques. Pour participer et assister aux échanges, c’est ici.

👨🏻‍⚖️ Justice - 3 millions de dollars d’amende. Selon le gendarme boursier américain, le fournisseur de Cloud computing BlackBaud n’a pas informé correctement les investisseurs lors de l’attaque subie par l’entreprise

〰️ Cul sec - Réponse 〰️

Réponses

Un peu tout ça finalement. Ce rapport du FBI sur les fraudes financières via Internet vous permettra d’aller plus loin.

〰️ Digestif 〰️

🔮 On va pas se mentir, on connaît tous une “Elizabeth”

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it“