La Carte Cyber - semaine n°21

Voici la suite de ce qu’il ne fallait pas manquer cette semaine ! 🍋

🧑‍⚖️ “Victoire” - Ce lundi 20 mai, la justice britannique a accordé un sursis à Julian Assange dans sa  lutte contre son extradition du Royaume-Uni. Les États-unis n’ayant pas réussi à fournir les garanties nécessaires démontrant que Julian Assange “bénéficiera des mêmes protections du premier amendement qu'un citoyen américain, et que la peine de mort ne sera pas prononcée”, les juges de la Haute Cour de Londres lui ont accordé l'autorisation de faire appel.

🧾 Acquisition - Le fournisseur de gestion d'identité CyberArk a annoncé ce lundi 20 mai le rachat de Venafi, le spécialiste en gestion des certificats de sécurité acquis par Thoma Bravo en 2020. Le montant de la transaction est évalué à 1,5 milliard de dollars. L’opération devrait être finalisée au second semestre 2024.

🗣 Coïncidence ? - Scarlett Johansson, ce lundi, a accusé OpenAI et son patron Sam Altman, d’avoir volontairement et à son insu copié sa voix pour les besoins de l’actuel système ChatGPT-4o. Selon elle, “Sky”, l’une des voix utilisée dans ChatGPT-4o ressemble intentionnellement à la sienne. Ce fait divers est d’autant plus troublant quant on sait que Sam Altman, a souhaité par le passé, embaucher l’actrice (qui a refusé) pour être la voix de l’actuel système ChatGPT-4o. La comédienne a également été la voix de l’intelligence artificielle du film “Her”, film dont les créateurs de ChatGPT n’ont jamais caché s’inspirer. Sam Altman a démenti mardi les accusations et a suspendu la voix de “Sky” par “respect” pour l’actrice.

Un internaute a poussé le vice jusqu’au bout en publiant sur X le communiqué de l’actrice lu par la voix artificielle “Sky”.

🇺🇸 Législation IA - Ce mercredi 22 mai, le comité des affaires étrangères de la Chambre des représentants des États-unis a voté en faveur d’un projet de loi visant à étendre l'autorité de la Maison Blanche pour surveiller les exportations de systèmes d'IA. Cette loi, si elle est ensuite adoptée par la Chambre et le Sénat, doit permettre aux gouvernement américain de préserver sa sécurité nationale et de freiner l'innovation chinoise dans ce domaine.

🇫🇷 Fond d’investissement IA - Ce mardi, lors d'un rassemblement d'acteurs de l’IA réunis à l'Elysée à la veille de l'ouverture du salon VivaTech à Paris, Emmanuel Macron a promis 400 millions d'euros supplémentaires pour financer la formation de spécialistes de l'intelligence artificielle à travers 9 pôles d'excellence. L'objectif est de passer de 40 000 personnes formées par an à 100 000, et d'accompagner en priorité les secteurs les moins bien financés et les plus technologiquement liés à l'IA (puce électroniques, cloud, etc.) a-t-il détaillé. De plus, le conseil national du numérique va également recevoir une enveloppe de 10 millions d'euros pour lancer une mission "d'acculturation des citoyens". Ce nouveau fond d'investissement qui doit être lancé avant la fin de l’année, vise à transformer la France en leader de l’intelligence artificielle.

⚠️ Vulnérabilité - Une faille de sécurité majeure a été découverte dans le serveur d’entreprise GitHub. Cette vulnérabilité pourrait permettre à des pirates de contourner le processus d’authentification et d'obtenir des privilèges administratifs. Heureusement, la vulnérabilité CVE-2024-4985 ne concerne que les configurations qui utilisent l'authentification SAML à inscription unique (SSO) avec la fonctionnalité d'assertions cryptées optionnelles activées. Les versions antérieures à 3.13.0 de GitHub Enterprise Server sont affectées. Microsoft a dores et déjà publié un correctif d'urgence dans les versions 3.9.15, 3.10.12, 3.11.10 et 3.12.4.

🔄 Mise à jour - Utilisateurs de Chrome, il est temps de mettre à jour votre navigateur ! Google a publié ce mercredi une mise à jour pour Chrome sur Windows, Mac et Linux. Cette mise à jour inclus 9 correctifs de sécurité pour des failles importantes, dont un zero-day (CVE-2024-4947) activement exploité.

📁 Infostealer - Une équipe d’analystes de CYFIRMA a découvert un nouveau voleur d'informations baptisé “SamsStealer” ciblant les systèmes Windows. Ce logiciel malveillant cible un large éventail de navigateurs et d'applications, y compris Discord, Chrome et Microsoft Edge, pour voler des mots de passe, des cookies et des données de portefeuille de cryptomonnaie. Une fois les données collectées, elles sont compressées dans une archive zip, téléchargées sur un service de partage de fichiers en ligne, et envoyées en lien de téléchargement via Telegram à l'attaquant.

🔔 Protection des données - La SEC, autorité amércaine de protection des marchés de capitaux, a récemment adopté des amendements importants sur la cybersécurité au Règlement S-P. Ces amendements renforcent la protection des informations personnelles des clients par les institutions financières. Ces nouvelles règles obligent les institutions à établir des plans de réponse aux incidents et à notifier les clients affectés dans les 30 jours suivant une violation de données. Les grandes entités auront 18 mois pour se conformer et les petites, 24 mois.

🥊 Concurrence - Google lance le programme Secure Alternative et utilise un rapport critique du Cyber Safety Review Board (CSRB) sur la sécurité de Microsoft pour promouvoir Google Workspace comme alternative à Exchange Online. Le programme offre des prix spéciaux et un soutien à la migration pour inciter les entreprises à passer à Workspace.

Comme toujours, merci de nous avoir lu. Pour diffuser la culture cyber, partage la Carte autour de toi 👐

Bon dimanche et à la semaine prochaine ! ✌️