🇺🇸 Le président Biden demande de nouvelles normes de sécurité pour l’IA

Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

🇺🇸 Le président Biden demande de nouvelles normes de sécurité pour l’IA,

Décode l’actu :

⚖️ La SEC, gendarme boursier américain, engage une action en justice contre le responsable de la sécurité de SolarWinds,

🦠 StripedFly, le malware passé inaperçu pendant 5 ans,

🇮🇱 BiBi-Linux : le nouveau malware Wiper utilisé pour cibler des organisations israéliennes,

📣 Google Play : 2 millions de téléchargements pour des applis Android dissimulant des publicités intrusives,

On t’explique tout ça plus bas.

Retrouve le mag :

📝 Qu’est-ce que le NIST Cybersecurity Framework (CSF) ?

🇪🇺 ENISA : État du paysage des menaces de cybersécurité en 2023,

🍋 Et des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau.

〰️ La reco du barman 〰️

🇺🇸 Le président Biden demande de nouvelles normes de sécurité pour l’IA

La Maison Blanche publie un décret historique

Ce lundi 30 octobre, le président Biden a publié un décret historique visant à établir de nouvelles normes en matière de sûreté et de sécurité de l’IA pour préserver la sécurité nationale, économique et la santé publique des États-Unis.

Cette nouvelle ordonnance oblige les entreprises développant des modèles d’IA fondamentaux, à partager les résultats des tests de sécurité avec le gouvernement avant un déploiement public. Le National Institute of Standards and Technology (NIST) a été chargé de définir de nouvelles normes pour des tests de sécurité approfondis avant le déploiement des nouveaux modèles d'IA.

Bien que la signature de ce décret aille dans le bon sens, de nombreux experts de l'industrie estiment que l'ordonnance manque encore de mécanismes d'application solides et l’impact sur les principaux acteurs de l'IA, tels qu'OpenAI, Google, Microsoft et Meta, demeure incertain.

Quand la sécurité nationale est menacée

Il y a 10 ans, en février 2013, conscient que la sécurité nationale des États-Unis repose sur le bon fonctionnement de ses infrastructures critiques, le président Obama publie le décret présidentiel numéro 13636 intitulé “Improving Critical Infrastructure Cybersecurity”.

Comme c’est de nouveau le cas aujourd’hui, quand il s’agit de préserver la sécurité nationale des États-unis, le décret d’Obama a chargé à l’époque le NIST, de collaborer avec les différentes parties prenantes pour élaborer un cadre méthodologique basé sur les normes, les directives et les meilleures pratiques existantes, dans le but de réduire les menaces cyber pesant sur les infrastructures critiques. Ce cadre méthodologique fait aujourd’hui référence dans le monde entier en matière de cybersécurité (NIST Cybersecurity Framework).

Aujourd’hui, à mesure que l'IA et ses usages se développent rapidement, l'IA soulève des interrogations concernant ses bénéfices et les risques qu’elle représente sur les sociétés, l’économie et la sécurité nationale des pays.

Avec ce décret chargeant le NIST d’élaborer ce cadre, les États-Unis ouvrent une nouvelle fois la voie et semblent vouloir se positionner comme leader en matière de régulation de l’IA. Le NIST n’a bien évidemment pas attendu ce décret pour travailler sur le sujet et devrait certainement s’appuyer sur son document “Artificial Intelligence Risk Management, publié le 26 janvier dernier. Ce cadre méthodologique a été conçu pour fournir aux organisations des orientations et bonnes pratiques en matière de gestion des risques liés à la conception, au développement, au déploiement et à l’utilisation d’IA.

La course à la régulation de l’IA

L'Union Européenne a pris des mesures importantes pour mieux contrôler l'IA grâce à une combinaison de réglementations, de lois et de lignes directrices éthiques. La Commission européenne a proposé la loi européenne sur l'intelligence artificielle, qui vise à établir un cadre juridique complet pour l'IA. Cette proposition de loi se concentre sur les applications de l'IA à haut risque, en mettant l'accent sur la transparence, la responsabilité et la minimisation des préjugés. Outre ces efforts réglementaires, l'Europe dispose de réglementations strictes en matière de protection des données, notamment le RGPD, qui régit le traitement des données personnelles, y compris les données utilisées pour les applications d'IA. Elle fixe des règles strictes en matière de traitement des données, de transparence et de consentement.

Le Royaume-Uni s'intéresse également activement aux dimensions éthiques et réglementaires de l'IA. Il a notamment créé le Centre for Data Ethics and Innovation (CDEI), un organisme consultatif indépendant chargé de relever les défis posés par l'IA et l'utilisation des données. Parallèlement, le gouvernement britannique est en train d'élaborer des lignes directrices sur l'éthique de l'IA, fournissant un cadre pour garantir le développement et l'utilisation responsables et éthiques des technologies de l'IA. En outre, le gouvernement étudie la mise en œuvre de cadres réglementaires pour l'IA, qui fixeraient des normes et des règles pour les développeurs et les utilisateurs de l'IA afin d'améliorer la sécurité, d'atténuer les risques et de protéger les consommateurs.

À plus grande échelle, les Nations Unies envisagent un conseil d'administration pour explorer la gouvernance mondiale de l'IA, et les pays du G7 ont adopté ce lundi 30 octobre un code de bonne conduite international pour les systèmes d’IA avancés. La course à la régulation de l’IA est définitivement lancée.

〰️ En image 〰️

📝 Qu’est-ce que le NIST Cybersecurity Framework (CSF) ?

〰️ Vos shots 〰️

⚖️ La SEC engage une action en justice contre le responsable de cybersécurité de SolarWinds

La Security and Exchange Commission (SEC) a annoncé ce lundi 30 octobre, des poursuites à l’encontre de SolarWinds et Timothy Brown, son directeur de la sécurité informatique, “pour fraude et manquements au contrôle interne concernant des risques et des vulnérabilités de cybersécurité prétendument connus”. Cette accusation porte sur le rôle qu'il aurait joué dans la tromperie des investisseurs en faisant de fausses déclarations sur les pratiques de SolarWinds en matière de cybersécurité et en minimisant les risques connus.

La SEC a indiqué depuis un certain temps qu'elle avait l'intention d'inculper les dirigeants de SolarWinds dans le cadre de la cyberattaque attribuée au service de renseignement extérieur russe. La SEC affirme que SolarWinds, sous la direction de Brown, a fourni des informations trompeuses aux investisseurs depuis son introduction en bourse en octobre 2018 jusqu'à la divulgation du piratage en décembre 2020.

La SEC réclame diverses pénalités, tandis que SolarWinds conteste les accusations. Toutefois, des rapports et des communications internes suggèrent que les problèmes de sécurité étaient connus au sein même de l'entreprise, ce qui laisse peu de place au doute.

Cette affaire suscite des inquiétudes parmi les responsables de la sécurité de l'information (CISO) quant à leurs responsabilités juridiques, à l'instar d'affaires antérieures impliquant des responsables de la sécurité.

🦠 StripedFly, le malware passé inaperçu pendant 5 ans

StripedFly, un logiciel malveillant sophistiqué, aurait, dans le pire des scénarios, infecté près d'un million d'appareils en passant inaperçu pendant cinq ans.

Détecté pour la première fois en 2017 et jusqu’en 2022, les chercheurs de Kaspersky avaient alors classé à l’époque le logiciel malveillant en tant que mineur de cryptomonnaie. Un article paru récemment révèle les conclusions d’un rapport technique privé publié l’année dernière, dans lequel une analyse plus poussée des échantillons collectés à l’époque vient rebattre les cartes et dévoile les caractéristiques d’un logiciel bien plus complexe. Il aurait été classé a tort comme mineur de cryptomonnaie.

Derrière son masque de logiciel de minage, les chercheurs ont découvert “un cadre modulaire complexe qui prend en charge à la fois Linux et Windows, […] équipé d'un tunnel réseau TOR intégré pour la communication avec les serveurs de commande, ainsi que d'une fonctionnalité de mise à jour et de livraison via des services de confiance tels que GitLab, GitHub et Bitbucket”.

L’objectif de StripedFly reste aujourd’hui toujours un mystère. Néanmoins, au vu de la sophistication du logiciel, et des années durant lesquels il a échappé à la détection, il ne fait nul doute pour les chercheurs que le logiciel ait atteint l’objectif qu’il s’était fixé. Peut-être celui d’un Etat.

🇮🇱 BiBi-Linux : le nouveau malware Wiper utilisé pour cibler des organisations israéliennes

Découvert par l'équipe de Security Joes (Israël) lors d'une enquête sur une intrusion dans le réseau d’une organisation israélienne, ce nouveau malware de type “Wiper” (destructeur) endommage le système d’exploitation de l’appareil en écrasant les fichiers du systèmes avec des fichiers inutiles.

Et pour pousser le vice, ce malware se distingue des autres en simulant le chiffrement des données, en ne communiquant pas avec des serveurs distants et ne laissant aucune note de rançon ou de moyen de contacter les attaquants.

L’échantillon découvert et étudié par les équipe de Security Joes ne présente pas de techniques d’obscurcissement, de dissimulation ou autres mesures de protection et démontre davantage la volonté des attaquant de maximiser l’impact destructeur de leurs attaques.

Ce type de malwares destructeurs de plus en plus en vogue est généralement utilisé par des groupes de menace russes, notamment pour cibler l'Ukraine depuis l'invasion de la Russie en 2022. Parmi les noms notables figurent DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate, CaddyWiper, et AcidRain. En 2017, le malware NotPetya, également un Wiper, avait généré un véritable séisme dans l’univers des grandes entreprises, des systèmes d’information et de la cybersécurité.

📣 Google Play : 2 millions d’applis Android dissimulent des publicités intrusives

Selon le dernier rapport mensuel sur les menaces mobiles, les analystes de Doctor Web ont identifié sur Google Play, des trojans associés aux 3 familles de logiciels malveillants "FakeApp", "Joker" et "HiddenAds", cumulant 2 millions de téléchargements.

Parmi les applications dissimulant des publicités intrusives ("HiddenAds"), 4 logiciels publicitaires déguisés en jeux (Super Skibydi Killer, Agent Shooter, Rainbow Stretch et Rubber Punch 3D) sont particulièrement intéressants. Une fois installées sur les appareils de leurs victimes, ces applications remplacent leur icône par celle de Google Chrome, ou par une icône d’application transparente.

Dans la famille “FakeApp”, les analystes ont découvert des applications (Eternal Maze, Jungle Jewels, Stellar Secrets, Fire Fruits, Cowboy's Frontier, Enchanted Elixir) redirigeant les utilisateurs vers des escroqueries à l’investissement ou des sites de casino en ligne douteux.

Enfin, deux applications de la famille “Joker” (Love Emoji Messenger et Beauty Wallpaper HD) ont également été découvertes. Elles abonnent les utilisateurs à des services payants.

Toutes ces applications ont depuis été retirées de Google Play. Néanmoins, les utilisateurs ayant installé ces applications dans le passé sont invités à les supprimer et à analyser leur appareil avec Play Protect et un antivirus mobile. Et pour éviter cette mésaventure à l’avenir, il est recommandé de toujours limiter les téléchargements d’applications au strict nécessaire, de lire les avis d'utilisateurs et de vérifier la fiabilité de l'éditeur.

〰️ Dégustation 〰️

🇪🇺 ENISA : État du paysage des menaces de cybersécurité en 2023

Le 19 octobre, l'ENISA (Agence de l'Union européenne pour la cybersécurité) a publié un rapport annuel sur l'état actuel des menaces et des tendances en matière de cybersécurité en Europe et au-delà. Ce rapport offre une analyse complète des menaces de cybersécurité basée sur les données d’incidents significatifs recueillies entre juillet 2022 et juin 2023.

Les principales menaces identifiées et analysées dans ce rapport sont les suivantes :

• Les rançongiciels

• Les logiciels malveillants

• Ingénierie sociale

• Menaces contre les données

• Menaces contre la disponibilité : Déni de service

• Menaces contre la disponibilité : Menaces Internet

• Manipulation et interférence de l'information

• Attaques contre la chaîne d'approvisionnement

Au cours de la période couverte par le rapport, les principales conclusions à retenir sont les suivantes :

• Les principales menaces observées sont les attaques par déni de service (DDoS) et les rançongiciels, suivi de l'ingénierie sociale, les menaces liées aux données, la manipulation de l'information, la chaîne d'approvisionnement et les logiciels malveillants.

• Les acteurs de la menace se professionnalisent, utilisant des programmes "as-a-Service" avec de nouvelles tactiques pour infiltrer, faire pression et extorquer.

• L'administration publique est la cible principale (~19%), suivie des individus ciblés (~11%), de la santé (~8%), de l'infrastructure numérique (~7%), et de l'industrie manufacturière, de la finance et des transports.

• La manipulation de l'information est un élément clé de la guerre entre la Russie et l'Ukraine.

• Les cybercriminels liés à des États continuent à utiliser des outils à double usage pour dissimuler leurs attaques et créent des chevaux de Troie pour des logiciels connus.

• Les cybercriminels se tournent également davantage vers les infrastructures cloud, ont de plus en plus de motivations géopolitiques en 2023, et intensifient leurs activités d'extorsion, en ciblant directement les utilisateurs.

• En 2023, les attaques d'ingénierie sociale ont considérablement augmenté, principalement en raison de l'utilisation de l'IA et de l'émergence de nouvelles techniques. Toutefois, le phishing demeure le moyen d'attaque prédominant.

〰️ À La carte 〰️

🤖 IA - Google et Amazon, se sont associés à l’entreprise américaine Anthropic, une société d'IA connue pour son chatbot "Claude", dans le but de rivaliser avec ChatGPT d’OpenAI dans le domaine de l'intelligence artificielle.

📱 Faille de sécurité - Une faille de sécurité critique, connue sous le nom d'iLeakage, a été détectée dans iOS, macOS et le navigateur Safari d'Apple, permettant à des acteurs malveillants d'accéder à des messages Gmail, d'exposer des mots de passe et de révéler des données personnelles sensibles.

📊 Petites entreprises - Le rapport de l’association américaine à but non lucratif IDTC, “ID Theft Center” (centre sur le vol de l’identité) a révélé que 42 % des petites entreprises subissent des pertes financières en raison de cyberattaques. Les données des employés et des consommateurs sont les catégories d'informations les plus touchées dans les violations de données.

❌ Faux positif - Les appareils Huawei, Honor et Vivo affichent actuellement des alertes de de sécurité recommandant de supprimer l'application Google en raison de la détection du logiciel malveillant "TrojanSMS-PA". Ces alertes suggèrent la suppression immédiate de l'application par précaution, même si elle ne représente pas à priori une menace réelle. Google a déclaré ne pas être à l'origine de l'alerte.

🔓 Sécurité - Une importante vulnérabilité de sécurité a été découverte dans l'utilitaire de configuration de F5 BIG-IP, un outil de gestion de réseaux d’entreprises. Si l’entreprise était un humain, le réseau serait son système nerveux. Cette vulnérabilité critique (score CVSS de 9.8 sur 10) permet à des attaquants potentiels d'exécuter des commandes à distance non autorisées, sans aucune authentification.

📝 Sondage - Publié le 26 octobre, le sondage “2023 Threat Mindset Survey” de SonicWall, entreprise américaine de cybersécurité spécialisée dans les solutions de pare-feu, a révélé que 55 % de ses clients sont de plus en plus préoccupés par les cyberattaques en 2023. Leur principale préoccupation étant centrée sur les menaces numériques telles que les rançongiciels et le spear phishing.

📖 Crypto Industrie - Sumsub, a publié son rapport "State of Verification and Monitoring in the Crypto Industry 2023" dans lequel 70 % des entreprises de crypto-monnaies signalent une augmentation des incidents de fraude par deep fake.

🍎 Vulnérabilités - De multiples vulnérabilités ont été découvertes dans les produits Apple. Certaines d'entre elles permettent à un attaquant de contourner les politiques de sécurité, de compromettre la confidentialité des données et d'exécuter du code arbitraire à distance.

〰️ Digestif 〰️

La dissimulation en action

Avec Halloween, les humains ne manquent pas d’imagination pour se dissimuler. Autant que les cyber-menaces ?

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”