L'option de protection avancée des données, c’est tout ce qu’il vous faut pour activer le chiffrement de bout en bout sur iCloud, mais cette option vient de disparaître pour tous les ressortissants du Royaume-Uni.
La raison derrière cela ? Une demande du gouvernement du Royaume-Uni à Apple de créer une backdoor dans leurs services pour récupérer l’accès aux données des utilisateurs, demande refusée par Apple pour plutôt proposer cette interruption de l’option de chiffrement sur iCloud.
Mais les UK ne sont pas les seuls à vouloir cette backdoor, la France et plus précisément notre ministre de l’intérieur le souhaite aussi sur les applis de messagerie, alors je vous en parle tout de suite et comme toutes les semaines dans le récap de l’actualité cyber de cette semaine.
Backdoor
Pour Bruno Retailleau, notre ministre de l’intérieur français, vouloir chiffrer ses informations signifie que nous avons forcément quelque chose à cacher, ce qui n’a absolument aucun sens.
Car lorsqu’ils disent cela, encore plus dans le contexte de défense de sa loi visant à lutter contre les narco trafiquants, ce qu’il insinue derrière, c’est que vous ne devriez pas trouver de problème à ne pas chiffrer vos données au quotidien.
En faisant cela et en utilisant allègrement un biais d’omissions, le ministre de l’intérieur oublie que ce n’est pas que du gouvernement et de son espionnage que nous devrions avoir peur mais aussi des dataleaks !
Et c’est aussi ce qu’a rappelé Apple en annonçant la fin du chiffrement de bout en bout aux UK, rappelant que dans le contexte actuel, le chiffrement de bout en bout est l’unique moyen de protection des utilisateurs pour ne pas voir réellement toutes leurs données divulguées.
Le Royaume-Uni et la France ne veulent actuellement qu’une seule chose : obtenir une backdoor dans ces architectures, que ce soit d’iCloud ou des services de messageries comme Whatsapp ou Signal utilisant des mécaniques de chiffrement de bout en bout.
Par tous les moyens, chacun défend sa proposition à coup de lutte contre les criminels ou pour la lutte contre la drogue, évitant soigneusement d’utiliser le mot backdoor, même si c’en est bien une.
Dans l’état, il est peu probable que ces demandes soient acceptées par les géants de la tech américains, surtout au vu du contexte politique actuel, mais ce n’est pas la première fois que ce sujet revient sur le tapis, devenu depuis quelques années un sujet récurrent. ([1], [2], [3], [4])
DeepSeek
Autre point d’attention cette semaine que je voudrais vous remonter, c’est la prolifération de faux sites cherchant à se faire passer pour deepseek.
Ce genre d’attaque, plus connu sous le nom de brand impersonation, l’équivalent de l’usurpation d’identité pour les entreprises, consiste à développer des sites reprenant en tout point celui de deepseek mais ayant des objectifs bien différents : dans notre cas, c’est de voler des informations sensibles et de la crypto aux utilisateurs tombés dans le piège.
Pour voler vos données personnelles, rien de plus simple, les sites vous demandent tout simplement de rentrer vos informations et pour ce qui est de la crypto, les attaquants ont mis en place une fausse vérification recapcha copiant en réalité dans votre presse papier la commande pour installer le malware Vidar.
Pour rappel, le seul et unique site de deepseek c’est deepseek.com, tout le reste n’étant que des copies et des tentatives des attaquants. ([5])
Bybit
Si vous vous souvenez, j’ai parlé la semaine dernière dans notre dernier récap du groupe d’attaquants Lazarus ayant volé l’équivalent de plus d’un milliard de dollars, en s’interposant dans un transfert de fonds de 400 000 éthers de bybit pour les détourner sur leur compte.
Alors détourner de l’argent c’est sympa, mais leurs défis maintenant c’est de parvenir à blanchir cet argent et plus particulièrement de transformer ces cryptomonnaies en argent tangible et utilisable pour la Corée du Nord car pour le moment ce n’est pas trop possible de faire ces achats entre états en crypto.
Et ce défi, lazarus sont en train de le relever haut la main en ayant déjà réussi à récupérer plus de 400 millions de dollars parmi le milliard qu’ils ont volé.
En utilisant habilement les outils de finance décentralisée et les crypto- brokers ne demandant pas de vérification client, connu pour ceux qui le savent sous l’acronyme KYC, Lazarus est en bonne voie pour récupérer l’intégralité de la somme volée.
Si Bybit était confiant la semaine dernière, le ton commence à changer avec une récompense de 10% des fonds volés pour ceux pouvant les aider à récupérer intégralement la somme. ([6], [7])
Microsoft & Quantique
L’info pour finir cette semaine sera celle de Microsoft étant parvenu à faire une avance majeure dans l’ordinateur quantique, avec la production du premier processeur quantique au qubits topologique !
Construit à partir de semiconducteurs d’un nouveau genre et inventé par Microsoft qu’ils ont souhaité appeler topoconducteur, le processeur baptisé Majorana 1 représente un sacré pas de plus vers les ordinateurs quantiques fiables.
Google et Microsoft ont pris d’ailleurs deux chemins complètement différents pour développer leur ordinateur quantique, Microsoft étant donc le premier à proposer un processeur doté d’un cœur topologique, étant tolérant aux pannes et se basant sur une matière nouvellement créée, construit selon Microsoft atome après atome.
Si j’ai attendu un peu avant de vous parler de cette info, c’est aussi pour vous parler du retour des autres scientifiques qui sont aujourd’hui beaucoup plus sceptiques sur cette avancée, notamment sur la création de cette matière et de son utilisation dans la puce quantique, sans preuve actuellement.
En tout cas, le prochain sujet de l’ère quantique semble être surtout la fiabilité et l’intégration que vont devoir travailler les clouds providers, même si, avec l’IA, ils ne devraient pas avoir de mal à trouver leur clientèle. ([8])
Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !