La Carte Cyber S43 - Top 6 des actus à ne pas manquer

〜 IA 〜

🇫🇷 Arcachon offre un abonnement payant à ChatGPT (ou presque) à ses habitants

Depuis lundi, les Arcachonnais peuvent bénéficier d’un accès gratuit à la version payante de ChatGPT, totalement financée par la commune. À hauteur de 24 euros par mois et par personne, contre présentation d’un justificatif de domicile.

Le maire Yves Foulon présente cette initiative, une première en France, comme un moyen d'obtenir des solutions plus rapides et efficaces, pour simplifier les démarches quotidiennes et améliorer l'accès aux services publics, tout en garantissant la confidentialité des données via des interactions anonymisées.

Cette décision contraste toutefois avec des villes comme Montpellier, qui ont interdit l'utilisation de ces outils d'IA en raison de préoccupations liées à la sécurité des données.

Attention aux effets d’annonce : En réalité, il ne s’agirait pas d’un abonnement Chat GPT Plus mais d’un simple chat utilitaire utilisant le modèle GPT-4, disponible uniquement sur le site de la mairie. Finalement, ChatGPT gratuit et ses modules pourraient même être plus complets…

Par ailleurs, se pose aussi la question du choix d’investir dans Open AI pour un service de l’État au lieu de son concurrent français Mistral AI.

〜 IDENTIFIANTS DE CONNEXION 〜

🕸 Nouvelle faille de sécurité pour Internet Archive

Deuxième incident pour Internet Archive : une mauvaise gestion des identifiants de sécurité ébranle la confiance des utilisateurs.

Ce qui s'est passé : Quelques jours à peine après une attaque par déni de service distribué (DDoS) ayant mis le site hors ligne, la bibliothèque numérique Internet Archive est de nouveau visé, cette fois à cause d'une vulnérabilité dans son utilisation de la plateforme de support Zendesk. Un acteur non autorisée a accédé à plus de 800 000 tickets de support, affirmant que l'organisation n’avait pas correctement sécurisé ses jetons d'authentification. Les jetons auraient été utilisés pour envoyer un e-mail de en masse le 20 octobre aux utilisateurs ayant interagi avec la plateforme.

L’email envoyé par le pirate aux utilisateurs débutait ainsi : “C’est décourageant de voir que, même après avoir été informé de la faille il y a deux semaines, IA n’a toujours pas pris la peine de renouveler de nombreux jetons API exposés dans leurs secrets GitLab”.

D’aprs le message, il semble que malgré des avertissements sur cette vulnérabilité il y a plusieurs semaines, Internet Archive n’a pas procédé au renouvellement de ses jetons, laissant une porte ouverte à cette exploitation. Les experts soulignent que ce type de négligence, de ne pas mettre à jour régulièrement les jetons API, prolonge la durée de vie des accès malveillants, menaçant ainsi les données des utilisateurs et la réputation de l’organisation.

Bien que les intentions du pirate semblent davantage viser à dénoncer une faille plutôt qu’à causer des dommages importants, cet incident porte un nouveau coup à la réputation d’Internet Archive.

🌩 Les identifiants à “longue durée de vie” des services cloud exposent la moitié des entreprises

Selon le rapport "State of Cloud Security" 2024 de Datadog, près de la moitié des entreprises utilisant des services cloud majeurs comme AWS, Google Cloud et Microsoft Entra sont exposées à des risques de violation de données. en raison de l’utilisation répandue d’identifiants à “longue durée de vie”.

Ces jetons, souvent laissés inutilisés et non surveillés, parfois valides, parfois non, créent une fenêtre d’opportunité dangereuse pour les attaquants, pour compromettre ces identifiants.

Les chiffres : 62 % des comptes de service Google Cloud et 60 % des utilisateurs AWS IAM et 46 % des applications Microsoft Entra ID ont des clés d’accès âgées de plus d’un an.

Pourquoi c'est important : Les identifiants à longue durée de vie sont difficiles à gérer à grande échelle, et beaucoup finissent par être divulgués dans du code source, exposant ainsi des données sensibles.

Solutions : Pour Andrew Krug, responsable de la sensibilisation à la sécurité chez Datadog : “Pour se protéger, les entreprises doivent sécuriser les identités avec des mécanismes d'authentification modernes, utiliser des identifiants de courte durée et surveiller activement les modifications des API couramment exploitées par les attaquants”.

Tu as lu 50% de la Carte. Pour lire la suite, débloque ton abonnement premium et soutiens le premier média cyber indépendant. ✨

À l’occasion du Cybermois Européen, Shakerz t’offre 30 jours d’essai gratuit à l’abonnement Premium.

〜 LA UNE DU SHAKE 〜