Salut 👋, on est samedi, voici ton digest du digital et de la cyber pour cette semaine.

À la une : 🇬🇧 Scandale du Post Office, l’affaire qui hante le Royaume-Uni

Aussi dans l’actu :

• 💼 IA et Emploi, à l’aube d’une révolution technologique

•  🪖 OpenAI assouplit sa politique sur l'usage militaire de ses outils d’IA

• 🇺🇦 Le cerveau derrière un vol de cryptomonnaie de 2 millions de dollars arrêté en Ukraine

• 🎰 L'Asie du Sud-Est face à une explosion du blanchiment d'argent via les casinos en ligne

🇬🇧 Scandale du Post Office, l’affaire qui hante le Royaume-Uni

En ce début d’année, la chaîne britannique ITV a diffusé une série télévisée revenant sur un scandale : celui du Post Office britannique et du combat mené pendant 20 ans par le directeur de bureau de poste Alan Bates et plus de 500 employés pour obtenir justice. Cette affaire digne d’un roman a été qualifiée de “l'une des plus grandes erreurs judiciaires de l'histoire” britannique selon le premier ministre Rishi Sunak.

Ces derniers jours, cette affaire refait les gros titres en Grande-Bretagne.

Horizon, le logiciel à l’origine du scandale

Le problème a débuté avec le système informatique Horizon, créé par l’entreprise japonaise Fujitsu et déployé en 1999 par les dirigeants du Post Office britannique dans les bureaux de poste du pays.

Le logiciel alors chargé d’opérer les transactions financières a rapidement commencé à afficher régulièrement des irrégularités et des pertes financières inexistantes dans les comptes de la Post Office.

Des années durant, Fujitsu, l’éditeur du logiciel a refusé d’incriminer la fiabilité de son système et les dirigeants de la poste britannique ont malheureusement choisi de trainer en justice les gérants de ces agences postales sujettes à des irrégularités, en les accusant de fraude et de détournements de fonds, alors même que le logiciel Horizon continuait de dysfonctionner.

Des conséquences humaines désastreuses

De 1999 à 2015, ce sont plus de 900 agents de la poste britannique qui ont été poursuivis en justice pour des faits de vol, fraude et fausse comptabilité par le Post Office. Nombreux sont les postiers qui ont dû rembourser sur leurs deniers personnels des sommes importantes. Ou être licenciés, et condamnés. Certaines condamnations ont même donné lieu a des peines de prison.

Ces injustices et les nombreuses erreurs judiciaires ont entraîné un préjudice moral considérable pour les victimes, qui ont subi l'exclusion sociale et ont tragiquement été poussées au suicide dans certains cas.

À ce jour, grâce au combat judiciaire mené par Alan Bates et son groupement de plus de 500 employés, 150 millions de livres ont été allouées en compensation à plus de 2500 personnes affectées par le scandale et 93 condamnations ont été révoquées. En revanche, aucun dirigeant du Post Office n'a encore été tenu juridiquement responsable, laissant penser que la lutte pour la vérité et la justice continue.

Par ailleurs, Le groupe informatique japonais Fujitsu, par la voix de son directeur en Europe Paul Patterson, a présenté ce mardi, et pour la première fois depuis le début de l’affaire, ses excuses devant une commission parlementaire.

A Davos cette semaine, le PDG monde de Fujitsu a également ajouté sa dose de contrition pour ce logiciel comptable dont les défauts ont abouti littéralement au vol et au décès d’employés de la poste britannique.

Comme le dit le dicton : mieux vaut tard que jamais…

💼 IA et Emploi, à l’aube d’une révolution technologique

D’après une analyse du FMI publiée le 14 janvier, l’intelligence artificielle affectera en moyenne, dans les années à venir, près de 40% des emplois mondiaux. Certains seront remplacés et d’autres complétés. Dans les économies avancées, l’impact de l’IA sur le marché du travail pourrait représenter 60% des emplois contre seulement 26% dans les pays émergents.

L’analyse prédit aussi un accroissement des inégalités de revenus et de richesse au sein des pays. Les travailleurs capables de maîtriser l'IA pourraient ainsi voir leur productivité et leurs salaires augmenter, tandis que ceux qui ne le peuvent pas risquent de prendre du retard.

Au même titre que la digitalisation il y a quelques années, les pays et les entreprises devraient prévoir des filets de sécurité et des programmes de reconversion pour les travailleurs vulnérables, afin d’assurer une transition vers l'IA plus inclusive.

Dans ce contexte, le FMI a développé un Indice de Préparation à l'IA qui évalue la préparation de 125 pays dans des domaines tels que l'infrastructure numérique, les politiques en matière de capital humain et de marché du travail, l'innovation, l'intégration économique, ainsi que la réglementation et l'éthique.

🪖 OpenAI assouplit sa politique sur l'usage militaire de ses outils d’IA

Le 10 janvier, OpenAI a modifié discrètement sa politique d'utilisation, en supprimant l'interdiction explicite de l'utilisation de chatGPT et des ses autres technologies pour des fins militaires. Cette modification intervient alors que le Pentagone montre un intérêt croissant pour l'entreprise.

Cette révision, présentée comme un effort pour clarifier et simplifier le document, soulève tout de même des questions sur l'approche d'OpenAI en matière d'utilisation militaire de ses outils, notamment ChatGPT.

Bien qu'OpenAI n'offre actuellement rien qui puisse directement nuire, créer des armes ou des logiciels de surveillance, l'utilisation de ses outils dans des tâches adjacentes à la guerre pourrait tout de même soutenir indirectement des institutions militaires avec des objectifs relativement proches. Notamment s’agissant des opérations d’influence.

🇺🇦 Le cerveau derrière un vol de cryptomonnaie de 2 millions de dollars arrêté en Ukraine

Un pirate de 29 ans a été arrêté en Ukraine, pour avoir orchestré une vaste opération de cryptojacking (ou minage de cryptomonnaie), générant illégalement plus de 2 millions de dollars en cryptomonnaies. Le cybercriminel utilisait des comptes piratés pour créer 1 million de serveurs virtuels et ainsi miner de la cryptomonnaie sans autorisation.

Le début de l'attaque remonte à 2021, lorsque le pirate compromet initialement 1 500 comptes d'une filiale d'une des plus grandes entreprises d'e-commerce mondiale [ndlr: on pense à AWS] avec un logiciel l’attaque par force brute développé par ses soins. Après avoir obtenu l'accès au service de gestion, le pirate a développé et déployé un virus mineur de cryptomonnaie, compromettant discrètement l'infrastructure serveur de l'entreprise. Ce virus a permis la création de plus d'un million d'ordinateurs virtuels pour exécuter le logiciel malveillant.

Cette activité illégale a entraîné chez les propriétaires de comptes compromis, des coûts énormes en raison de l’utilisation abusive de leurs ressources cloud. L'individu a été identifié et localisé grâce à la collaboration d’un fournisseur de services cloud, qui a partagé des informations sur les comptes d’utilisateurs compromis, avec Europol et la police Ukrainienne.

🎰 L'Asie du Sud-Est face à une explosion du blanchiment d'argent via les casinos en ligne

Des réseaux criminels mondiaux ont établi des casinos physiques et en ligne dans des territoires autonomes d'Asie du Sud-Est contrôlés par des gangs armés, entraînant une hausse de blanchiment d'argent, de cyberfraude et de cybercriminalité.

Selon un rapport de l'Office des Nations Unies contre la Drogue et le Crime (ONUDC) publié ce lundi 15 janvier, cette situation est exacerbée par l'utilisation de cryptomonnaies et d'échanges de cryptomonnaies. Les casinos ont toujours été un moyen de blanchir de l'argent, mais après l’interdiction en Chine des casinos en 1949, les opérateurs de junkets (des entités qui organisaient des visites tout frais payés aux joueurs) ont commencé à collaborer avec des casinos illégaux opérant dans “des juridictions peu réglementées et très vulnérables” tels que le Cambodge, le Laos, les Philippines, ainsi que plusieurs zones frontalières contrôlées par des groupes armés au Myanmar (ex-Birmanie).

D’après le rapport qui cite des données chinoises “au moins cinq millions de personnes participent à cette industrie souterraine, pour un total estimé à 157 milliards de dollars américains en sorties de capitaux”.

En plus du blanchiment, ces casinos se sont diversifiés dans des opérations de cyberfraude, parfois impliquant même la traite d’êtres humains [Shakerz du 16 décembre 2023]. Le rapport souligne la nécessité pour les gouvernements asiatiques de reconnaître et de lutter contre ce fléau cybercriminel en hausse.

📑 Rapport - Dans un rapport intitulé “Clearing the Fog of War“ et publié le 11 janvier, Forescout, l'un des leaders mondiaux de la cybersécurité, a révélé de nouveaux détails sur les attaques contre le secteur énergétique danois en mai 2023, potentiellement liées à l'APT russe Sandworm.

🧨 Représailles - Anonymous Sudan, groupe hacktiviste pro-russe connu pour ses attaques massives par DDoS, a revendiqué sur Telegram le 12 janvier 2023, une cyberattaque contre le London Internet Exchange (LINX). Cette attaque serait une réaction au soutien britannique envers Israël et aux frappes aériennes au Yémen. Néanmoins, des doutes subsistent quant à la réalité de cette attaque, qui n’aurait causé aucune interruption du site internet de LINX selon les spécialistes de CyberKnow. Une attaque donc plus médiatique que réelle.

🚨 Vulnérabilité - Des vulnérabilités critiques ont été découvertes dans les thermostats Bosch BCC100 (notamment pour piloter l’air conditionné) et les clés à chocs intelligentes Rexroth NXA015S-36V-B (utilisées sur les chaines d’assemblage automobile), permettant potentiellement l'exécution de codes arbitraires tels que des ran. Bosch a corrigé la vulnérabilité des thermostats (CVE-2023-49722) en novembre 2023 et prévoit des correctifs pour les clés à chocs d'ici fin janvier 2024. En attendant, une limitation de l'accès réseau de ces appareils est recommandée. Pour mémoire, la célèbre attaque du retailer Target en 2013 a été effectuée via le fournisseur de maintenance de l’air conditionné. 40 millions de numéros de cartes de crédit et 70 millions de données client avaient été volées.

🚨 Vulnérabilité - Des experts en sécurité estiment que des attaquants soutenus par la Chine exploitent activement depuis décembre deux vulnérabilités zero-day dans les produits de sécurité d'Ivanti. Les vulnérabilités, CVE-2023-46805 (contournement d'authentification) et CVE-2024-21887 (injection de commandes), permettent une exécution de code à distance non authentifiée. Ivanti, qui n'a pas encore publié de correctifs, prévoit un déploiement à partir de la semaine du 22 janvier et recommande l'application immédiate de mesures d'atténuation.

🧩 Wordpress - Une nouvelle campagne “Balada Injector”, lancée à la mi-décembre 2023, a compromis plus de 7 100 sites WordPress via une faille (CVE-2023-6000) dans le plugin Popup Builder installé sur 200 000 sites web.

🧩 Wordpress “le retour” - Deux failles critiques ont été trouvées dans le plugin WordPress POST SMTP Mailer, installé sur plus de 300 000 sites. La première permet de réinitialiser la clé API et d'accéder aux logs sensibles, la seconde autorise l'injection de scripts malveillants. Bien que corrigée le 1er janvier 2024, environ 150 000 sites restent encore vulnérables faute de mise à jour. Il est crucial d'installer la version 2.8.9.

🥗 Spams - HelloFresh, une entreprise de kits de repas, a été condamnée à une amende de 140 000 £ par le régulateur britannique de la vie privée (cad. la “CNIL” britannique) pour avoir envoyé 80 millions (79 millions d’emails et 1 millions de sms) de messages de spam entre août 2021 et février 2022. Est-ce une opération malgré tout rentable pour HelloFresh ? Seule l’entreprise peut le dire...

Dis, Elon, tu envoies des humains dans l’espace, mais, ca ne serait pas un peu froissé ?