♾️ Quand l'IA te surveille

Salut Shaker 👋

C’est samedi, voici le Shake. Pour toi, voici ce qu’on a retenu du digital et de la cyber cette semaine. À la une : ♾️ La surveillance numérique par les algorithmes.

On te décode l’actu :

👊🏻 Europol s’attaque aux pirates de DoppelPaymer dans une opération coup de poing,

🎣 La popularité de ChatGPT exploitée dans une campagne de phishing,

💬 Un ensemble de grands modèles de langage sophistiqués développés par Meta divulgué sur 4chan,

👄 Aux États-Unis, des milliers de personnes ont été victimes d'escroqueries téléphoniques par IA en 2022,

🚁 Des failles de sécurité des drones DJI peuvent révéler la position du pilote - hé oui c’est grave, mais pourquoi ?

On t’explique tout ça plus bas.

Retrouve le mag :

🧠 Infographie sur l’étique de l’intelligence artificielle,

🇺🇸 Les 5 piliers de la nouvelle stratégie nationale de cybersécurité américaine,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

♾️ La surveillance numérique par les algorithmes

38 organisations internationales s’opposent aux mesures de vidéosurveillance algorithmique introduites par la loi JO 2024

Un collectif de 38 organisations internationales coordonnées l’ECNL demande dans une lettre ouverte à l’assemblée nationale française, le retrait de l'article 7 du projet de loi relatif aux Jeux olympiques et paralympiques de Paris 2024. Ils affirment que les dispositions “d'exception” prévues dans cet article sont injustifiées et créent un précédent inquiétant en matière de surveillance.

Légalisation de la “vidéosurveillance algorithmique intrusive”

Sous couvert d’assurer la sécurité lors d’événements de grande ampleur, la France envisagerait de légaliser la “vidéosurveillance algorithmique intrusive” lors des JO 2024. Si le projet de loi est adopté, la France deviendrait le premier État de l'Union Européenne à légaliser explicitement ce type de pratiques.

Selon le collectif, cette loi est inquiétante et disproportionnée car elle ne respecte pas les principes de nécessité et de proportionnalité, ce qui entraîne des risques inacceptables pour les droits fondamentaux.

Un dispositif dissuasif sur l’exercice des libertés civiques fondamentales

Comme l’ont souligné le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (CEPD) dans leur avis conjoint du 18 juin 2021 sur règles harmonisées concernant l’intelligence artificielle, la mise en place de la surveillance biométrique a des conséquences graves sur le droit à l'anonymat dans les espaces publics, affectant négativement la capacité des personnes à exercer leurs libertés civiques par peur d'être identifiées ou poursuivies injustement. Cette mesure menace le droit à la vie privée et à la protection des données, le droit à la liberté de réunion et d'association et le droit à la non-discrimination et va également à l'encontre droit international relatif aux droits humains.

Comme pour la surveillance biométrique, la surveillance en ligne interpelle.

Les jeunes européens opposés à la surveillance des communications en ligne

Dans une enquête commandée par European Digital Rights (EDRi) et les membres du Parti Pirate au Parlement européen, 80 % des jeunes de 13 à 17 ans de 13 États membres de l'Union Européenne déclarent être opposés à la surveillance de leurs communications en ligne. Les résultats montrent que les jeunes ne seraient pas à l'aise pour être politiquement actifs ou explorer leur sexualité si les autorités étaient en mesure de surveiller leurs communications numériques à la recherche d'abus sexuels commis sur des enfants.

Ces données interviennent alors que le Parlement européen négocie actuellement la proposition de la Commission européenne visant à prévenir et à combattre les abus sexuels sur les enfants via un règlement CSA. Cette enquête met en évidence l'importance de protéger la vie privée des jeunes dans le cadre de la lutte contre les abus sexuels en ligne.

Cependant, les experts avertissent que l'affaiblissement du chiffrement pourrait avoir de graves conséquences sur la vie privée, la sécurité et la liberté d'expression en ligne de tous les utilisateurs, y compris les enfants, que cette législation vise à protéger. Les Nations unies et l'UNICEF estiment que la protection de la vie privée en ligne est essentielle pour permettre aux jeunes de se développer et de s'exprimer, et que les enfants ne devraient pas être soumis à une surveillance généralisée. Selon le Royal College of Psychiatrists britannique, la surveillance est préjudiciable aux enfants et les politiques basées sur l'autonomisation et l'éducation sont plus efficaces.

🧠 Quand les algorithmes posent des défis à l’humanité !

〰️ Vos shots 〰️

👊🏻 Europol s’attaque aux pirates de DoppelPaymer dans une opération coup de poing

Après près de 2 ans d’inactivité et alors qu’ils pensaient probablement être à l’abri, Europol, en coordination avec la police régionale allemande, la police nationale ukrainienne, la police néerlandaise et le FBI, a mené le 28 février dernier une opération qui a abouti à l'arrestation de deux suspects en Allemagne et à la perquisition de matériel informatique en Ukraine. Les deux individus sont soupçonnés d'avoir joué un rôle de premier plan dans le rançongiciel DoppelPaymer et le matériel informatique saisi est en actuellement cours d'analyse pour déterminer le rôle exact des suspects dans les attaques. De plus, 3 mandats d’arrêts ont également été émis à l’encontre de 3 suspects Russes, qui restent pour l’heure introuvables. Pour rappel, le ransomware DoppelPaymer a fait plus de 600 victimes dans le monde, très diverses, parmi lesquelles l'hôpital universitaire de Düsseldorf… et la National Rifle Association américaine. Aux États-Unis, les victimes ont payé au moins 40 millions d'euros de rançon entre mai 2019 et mars 2021. Pour faciliter leurs attaques, les cybercriminels ont utilisé Emotet, un cheval de Troie apparu en 2014, puis devenu un botnet en 2017. Considéré comme "le maliciel le plus dangereux au monde" par Europol, Emotet a été démantelé en 2021.

🎣 La popularité de ChatGPT exploitée dans une campagne de phishing

Depuis son lancement en novembre 2022, ChatGPT n’en finit pas de défrayer la chronique. Comme on pouvait s’y attendre, les acteurs de la menace ont naturellement chercher des moyens d’exploiter l’outil à des fins malveillantes. La dernière découverte en date fait état de l’une de ces tentatives. Les chercheurs en sécurité de Bitdefender on découvert une nouvelle campagne de phishing “très sophistiquée” attirant les utilisateurs avec des opportunités financières. Cette arnaque cible actuellement des utilisateurs en Irlande, en Australie, en Allemagne, au Danemark et aux Pays-Bas. Le mode opératoire de cette campagne consiste à envoyer aux victimes un email contenant peu d’informations et un lien redirigeant une version de ChatGPT bien évidement fausse. Cette version copiée de chatGPT ne contient que des réponses pré-déterminées, incitant l’utilisateur à investir au moins 250 euros et à renseigner des informations personnelles, financières et bancaires. Cette campagne s’étend actuellement très rapidement à d'autres région. Les utilisateurs doivent donc rester vigilants et utiliser le site officiel de chatGPT.

💬 Un ensemble de grands modèles IA de langage développés par Meta a été divulgué sur 4chan

Le mois dernier, dans un effort de démocratisation de l’accès à la recherche sur l’IA, Meta, la société mère de Facebook a mis à disposition de chercheurs précautionneusement sélectionnés, sa famille de modèles génératifs concurrente de GPT nommé LLaMA. Néanmoins, vendredi dernier, un lien de téléchargement du modèle a été publié sur le forum 4chan et s'est rapidement répandu sur l'internet. Le modèle est désormais disponible au téléchargement via divers torrents. Cette “fuite” ne semble pas inquiéter outre mesure Meta qui déclare que "bien que le modèle ne soit pas accessible à tous et que certains aient tenté de contourner le processus d'approbation, nous pensons que la stratégie de diffusion actuelle nous permet d'équilibrer responsabilité et ouverture". En revanche, rendre public l’un des modèles d’IA les plus puissants à ce jour augmente considérablement la probabilité que que la technologie soit utilisée à des fins malveillantes.

👄 Aux États-Unis, des milliers de personnes ont été victimes d'escroqueries téléphoniques par IA en 2022

Selon la Federal Trade Commission, l’usurpation d’identité est extrêmement courante aux États-Unis. Il s'agit de l’escroquerie la plus fréquemment signalée en 2022. 36 000 signalements d’usurpation d’identité ont été recensés, dont plus de 5 000 se sont produits par téléphone représentant plus de 11 millions de dollars de pertes. Et cela ne va pas aller en s’améliorant.

Selon le Washington Post, une tendance inquiétante est en train de voir le jour : l’usurpation d’identité téléphonique par IA. Grâce à des technologies de plus en plus sophistiquées et à partir de seulement quelques phrases d’audio, les pirates sont désormais capables de générer et d’imiter des voix par IA de façon très convaincante. Les personnes ciblées sont généralement des personnes vulnérables ou âgées et les pirates appuient sur le sentiment d’urgence et de détresse pour pousser les victimes à passer à la caisse. Selon les experts, les autorités et les tribunaux ne sont pas encore suffisamment préparés et équipés pour endiguer cette escroquerie en plein essor. Les auteurs ce ces escroqueries sont difficilement identifiables car ils opèrent dans le monde entier et les fonds sont difficiles à tracer. De plus, il n’existe pas encore assez de précédents juridiques permettant aux tribunaux de sanctionner les entreprises qui produisent ces outils. En attendant que la situation évolue, il est recommandé de traiter avec scepticisme toute demande d'argent liquide, quelle qu’elle soit, et de toujours contacter la personne par d’autres moyens connus avant de procéder à l’envoi de fonds.

🚁 Des failles de sécurité des drones DJI peuvent révéler la position du pilote

Des chercheurs de l'Institut Horst Görtz et du Centre Helmholtz pour la sécurité de l'information (CISPA) en Allemagne ont identifié pas moins de 16 vulnérabilités importantes dans plusieurs drones de la marque chinoise DJI, leader mondial des drones caméra et quadricoptères. Ces vulnérabilités pourraient permettre aux utilisateurs de modifier des éléments d'identification cruciaux du drone, tels que son numéro de série, et même de contourner les mécanismes de sécurité qui permettent aux autorités de suivre à la fois le drone et de révéler la position de son pilote. Dans le cadre d’un conflit, comme c’est le cas actuellement en Ukraine, ces drones pourraient être abattus à distance en cours de vol. Et les pilotes cibles de frappes. L'équipe de chercheurs a informé DJI avant de rendre l'information publique, et l’entreprise a depuis corrigé les problèmes. De plus, l’entreprise chinoise DJI a également discrètement mis fin à AeroScope, son système de détection de drones qui suscitait de vives inquiétudes depuis le début de la guerre en Ukraine. En effet, en mars 2022, trois semaines après les premières frappes, l’Ukraine accusait la Russie de recourir à ces drones pour mieux guider leurs frappes.

〰️ Dégustation 〰️

🇺🇸 Les 5 piliers de la nouvelle stratégie nationale de cybersécurité américaine

Le gouvernement américain travaille depuis un certain temps sur le document de stratégie nationale de cybersécurité 2023, qui vient finalement d’être publié. Ce document remplace le dernier de ce genre datant de 2018 et vise à définir la direction générale de l'approche américaine en matière de sécurité et de cybercriminalité pour les années à venir.

Les cinq principaux piliers d’actions de cette nouvelle stratégie sont les suivants :

1. Défendre les infrastructures critiques

Comment ? En étendant l'utilisation de normes de sécurité minimales dans les secteurs critiques, en harmonisant les réglementations pour réduire le poids de la conformité, en facilitant la collaboration public-privé, en renforçant la défense et la modernisation des réseaux fédéraux et en actualisant les politiques fédérales de réponse aux incidents.

2. Perturber et démanteler les acteurs de la menace

En utilisant de manière stratégique tous les moyens de la puissance américaine pour déstabiliser les adversaires. En impliquant le secteur privé dans les activités de déstabilisation et en abordant la menace des rançongiciels à travers une approche fédérale globale en coopération avec les partenaires internationaux.

3. Façonner le marché pour favoriser la sécurité et la résilience

En encourageant la protection de la vie privée et la sécurité des données personnelles. En transférant la responsabilité des produits et services logiciels pour promouvoir des pratiques de développement sûres et en veillant à ce que les programmes fédéraux de subventions encouragent les investissements dans de nouvelles infrastructures sécurisées et résiliantes.

4. Investir dans un avenir résilient

En réduisant les vulnérabilités techniques systémiques de l’Internet et l'écosystème numérique tout en le renforçant contre la répression numérique transnationale. En favorisant la recherche et le développement en matière de cybersécurité pour les nouvelles technologies telles que le chiffrement post-quantique, les solutions d'identité numérique et les infrastructures énergétiques propres. En formant une main-d'œuvre nationale diversifiée et compétente dans le domaine de la cyber.

5. Forger des partenariats internationaux pour poursuivre des objectifs communs

En utilisant les coalitions internationales et les partenariats entre nations partageant les mêmes valeurs pour contrer les menaces pesant sur l’écosystème numérique grâce à une préparation, une réponse et une dissuasion conjointes. En renforçant la capacité des partenaires des USA à se défendre contre les cybermenaces, en temps de paix comme en temps de crise. En collaborant avec les alliés et partenaires des USA pour établir des chaînes d'approvisionnement mondiales sûres, fiables et dignes de confiance pour les produits et services liés aux technologies de l'information et de la communication [ndlr : cf. cas SolarWinds / SolarStorm] et aux technologies opérationnelles [ndlr : les “SCADA” et systèmes de contrôle industriels].

〰️ Cul sec - La question 〰️

💶 Décembre 2020, la CISA a alerté d’une cyberattaque avancée contre l’éditeur de logiciels SolarWinds et les réseaux fédéraux. Mais l’Office of Inspector General (OIG), l’équivalent de la Cour des Comptes française - en plus puissant - a dû mener une enquête sur la CISA. Pourquoi ?

A. La CISA n’a pas alerté efficacement toutes les agences de l’Etat fédéral

B. La CISA ne disposait pas de ressources financières suffisantes

C. La CISA n’a pas organisé efficacement ses ressources disponibles

D. Les OVNIs ont empêché la CISA d’agir efficacement

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

⏪ Rewind - Le 10 mars 2008, Facebook lançait son service en français, permettant ainsi d’acquérir 4 millions d’utilisateurs supplémentaires dans l’hexagone fin 2008. Aujourd’hui, Facebook est le réseau social le plus utilisé dans le monde avec 2,958 milliards d’utilisateurs actifs mensuels en 2023. En France, ce sont 40 millions d’utilisateurs qui se connecte tous les mois en 2023.

🎓 Événement - Le 16 mars à 17h, Microsoft tiendra une conférence en ligne sur l’avenir du travail avec l’IA. Les participants pourront “apprendre comment l’intelligence artificielle va alimenter une toute nouvelle manière de travailler, pour chaque personne et chaque organisation”.

👩🏻 Portrait - Jen Easterly, est la directrice de l'Agence de cybersécurité américaine (CISA). Elle a été nommée par le président Biden en avril 2021 et a une longue tradition de service public, avec notamment deux séjours à la Maison Blanche et un poste d'adjointe à la lutte contre le terrorisme à l'Agence nationale de sécurité. Elle a notamment été responsable de la création du premier bataillon cyber de l'armée et a joué un rôle déterminant dans la conception et la création du Commandement cyber des États-Unis.

〰️ Cul sec - Réponse 〰️

Réponses

La bonne réponse est la réponse C : comme l’indique l’OIG, la défaillance de la CISA à traiter efficacement la crise SolarWinds / SolarStorm a eu lieu du fait que la CISA n’a pas réussi à terminer ses plans de continuité, recrutement et d’allocation des espaces de travail, ou que ceux-ci n’ont pas rempli leurs objectifs.

〰️ Digestif 〰️

🏎️ Pourquoi vous devez toujours procéder à une évaluation des risques 😅

Pour ce qui s’agit de l’IA comme du reste…

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

👉 On a besoin de ton soutien pour diffuser au plus grand nombre la culture de sécurité digitale.

Rejoins les Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it“